Edizione provvisoria
CONCLUSIONI DELL’AVVOCATO GENERALE
PRIIT PIKAMÄE
presentate il 22 febbraio 2024 (1)
Causa C‑693/22
I. sp. z o. o.
contro
M. W.
[domanda di pronuncia pregiudiziale proposta dal Sąd Rejonowy dla m.st. Warszawy w Warszawie (Tribunale circondariale della città di Varsavia, Polonia)]
«Rinvio pregiudiziale – Tutela dei dati personali – Regolamento (UE) 2016/679 – Vendita di una banca di dati contenente dati personali nell’ambito di un procedimento di esecuzione forzata – Articolo 4, punto 7 – Nozione di “titolare del trattamento” – Articolo 5, paragrafo 1, lettera b) – Limitazione della finalità – Articolo 6, paragrafi 1, 3 e 4 – Liceità del trattamento – Rispetto di un obbligo legale imposto al titolare del trattamento – Esecuzione di un compito di interesse pubblico – Articolo 23, paragrafo 1, lettera j) – Esecuzione delle azioni civili – Misura necessaria e proporzionata»
1. Può la vendita, nell’ambito di un procedimento di esecuzione forzata, di una banca di dati contenenti dati personali essere conforme alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (in prosieguo: il «RGPD») (2), quando gli interessati non hanno acconsentito a una siffatta vendita?
2. Questo è il principale interrogativo sottoposto alla Corte dal Sąd Rejonowy dla m. st. Warszawy w Warszawie (Tribunale circondariale della città di Varsavia, Polonia) nell’ambito del presente rinvio pregiudiziale.
3. La Corte sarà così chiamata a esaminare una fattispecie particolare nel contesto del RGPD e a prendere posizione su taluni elementi chiave di detto regolamento, quali la nozione di «titolare del trattamento», la liceità del trattamento e la portata del principio di limitazione delle finalità.
Contesto normativo
Diritto dell’Unione
4. L’articolo 4 del RGPD prevede quanto segue:
«Ai fini del presente regolamento s’intende per:
1) “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); (...)
2) “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
(...)
7) “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
(...)».
5. L’articolo 5 di detto regolamento, rubricato «Principi applicabili al trattamento di dati personali», così dispone, ai suoi paragrafi 1 e 2:
«1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; (...)
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”);
(...).
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».
6. L’articolo 6 del regolamento di cui trattasi, intitolato «Liceità del trattamento», è così formulato:
«1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
(...)
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
(...)
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
(...).
3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:
a) dal diritto dell’Unione; o
b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento.
La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento (...). Il diritto dell’Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito.
4. Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l’altro:
a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto;
b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento;
c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 10;
d) delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati;
e) dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione».
7. L’articolo 23, paragrafo 1, del RGPD, intitolato «Limitazioni», prevede quanto segue:
«1. Il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:
(...)
j) l’esecuzione delle azioni civili».
Diritto polacco
8. L’articolo 299 dell’ustawa Kodeks spółek handlowych (legge recante il codice delle società commerciali), del 15 settembre 2000 (Dz. U. del 2022, posizione 1467; in prosieguo: il «codice delle società commerciali»), è formulato come segue:
«§ 1. Se l’esecuzione nei confronti della società si rivela infruttuosa, i membri del consiglio di amministrazione sono responsabili in solido per le obbligazioni della stessa società.
§ 2. Il membro del consiglio di amministrazione può liberarsi dalla responsabilità di cui al paragrafo 1, se dimostra che è stata depositata tempestivamente un’istanza di fallimento o è stata emessa allo stesso tempo una decisione di avvio di un procedimento di ristrutturazione o di omologazione del concordato nell’ambito di un procedimento di omologazione di concordato o che la mancata presentazione dell’istanza di fallimento non è a lui imputabile, o che nonostante la mancata presentazione dell’istanza di fallimento e la mancata emissione della decisione di avvio di un procedimento di ristrutturazione o la mancata omologazione del concordato nell’ambito di un procedimento di omologazione di concordato, il creditore non ha subito alcun danno».
9. Ai sensi dell’articolo 796, paragrafo 1, dell’ustawa Kodeks postępowania cywilnego (legge recante il codice di procedura civile), del 17 novembre 1964 (Dz. U. del 2021, posizione 1805), come modificata (in prosieguo: il «codice di procedura civile»):
«La richiesta di avvio dell’esecuzione deve essere presentata al tribunale o all’ufficiale giudiziario, a seconda della competenza. La richiesta all’ufficiale giudiziario può essere presentata su un modulo ufficiale».
10. L’articolo 799, paragrafo 1, prima frase, del codice di procedura civile così dispone:
«Una domanda di esecuzione o una domanda di esecuzione d’ufficio consente di procedere all’esecuzione secondo tutti i metodi autorizzati, ad eccezione dell’esecuzione sui beni immobiliari. (…)».
11. L’articolo 824, paragrafo 1, punto 3, di tale codice è formulato come segue:
«L’estinzione completa o parziale del procedimento di esecuzione giudiziaria è dichiarata d’ufficio:
(…)
3) ove emerga chiaramente che l’esecuzione forzata non consentirà di recuperare un importo superiore ai costi di detta procedura».
12. L’articolo 831 di detto codice prevede quanto segue:
Ǥ 1. Non sono soggetti ad esecuzione forzata:
(...)
3) i diritti inalienabili, salvo qualora la loro alienabilità sia esclusa per contratto e l’oggetto della prestazione sia suscettibile di esecuzione forzata o qualora l’esercizio del diritto possa essere affidato a qualcun altro».
13. L’ustawa o komornikach sądowych (legge sugli ufficiali giudiziari), del 22 marzo 2018 (Dz. U. del 2022, posizione 1168), come modificata (in prosieguo: la «legge sugli ufficiali giudiziari»), disciplina lo status e le attività degli ufficiali giudiziari. Ai sensi del suo articolo 3, paragrafi 1 e 3:
«L’ufficiale giudiziario è un’autorità pubblica nell’ambito dell’esercizio dell’attività in un procedimento esecutivo e in un procedimento cautelare. Tale attività è esercitata dall’ufficiale giudiziario, salvo eccezioni previste dalla legge.
(...)
L’ufficiale giudiziario è chiamato ad espletare i seguenti compiti:
1) dare esecuzione alle decisioni giudiziarie nell’ambito delle cause in materia di crediti pecuniari e non pecuniari e di depositi di garanzia, comprese le ordinanze europee di sequestro conservativo di conti correnti, fatte salve le eccezioni previste [dal codice di procedura civile];
(...)».
14. L’articolo 9, paragrafo 1, di tale legge così dispone:
«L’ufficiale non può rifiutare una richiesta avente ad oggetto:
1) l’avvio di un’esecuzione forzata,
(…)
atti per i quali è competente a norma delle disposizioni [del codice di procedura civile]».
15. L’articolo 31, paragrafo 1, prima frase, di detta legge è redatto come segue:
«Le somme pignorate su un conto bancario, su un conto tenuto da una cooperativa di risparmio e di credito o su un conto tenuto da un ente che esercita attività di intermediazione, ottenute a seguito del primo pagamento effettuato dal debitore del credito pignorato, vengono trasferite dall'ufficiale giudiziario al creditore non prima del settimo giorno e non oltre il quattordicesimo giorno dalla data di ricevimento. (…)».
16. L’ustawa o ochronie baz danych (legge sulla tutela delle banche di dati), del 27 luglio 2001 (Dz. U. del 2021, posizione 386) (in prosieguo: la «legge sulla tutela delle banche di dati»), prevede, al suo articolo 2, paragrafo 1, punto 1, quanto segue:
«Ai fini della presente legge si intende per:
1. “banca di dati”: una raccolta di dati o di qualsiasi altro materiale ed elemento disposti secondo un particolare sistema o metodo, accessibili individualmente con qualsiasi mezzo, anche elettronico, che richieda un investimento rilevante, sotto il profilo qualitativo o quantitativo, ai fini della preparazione, della verifica o della presentazione del suo contenuto».
17. L’articolo 6, paragrafo 1, della legge sulla tutela delle banche di dati dispone quanto segue:
«Il costitutore di una banca di dati ha il diritto esclusivo e trasferibile di estrarre i dati e di reimpiegarli nella totalità o in una parte sostanziale in termini qualitativi o quantitativi».
Procedimento principale, questione pregiudiziale e procedimento dinanzi alla Corte
18. La società I. (in prosieguo: la «ricorrente» o la «società creditrice»), con sede in Polonia, vanta un credito, confermato mediante decisione giudiziaria definitiva, nei confronti della società NMW, specializzata nella vendita online, di cui M.W. è membro del consiglio di amministrazione.
19. Su richiesta della ricorrente, è stato avviato un procedimento esecutivo a carico della NMW volto ad ottenere il soddisfacimento di tale credito. Detto procedimento ha portato all’adozione, da parte dell’ufficiale giudiziario, di una decisione di estinzione dell’esecuzione, non avendo la società NMW attivi tali da poter essere assoggettati a vendita forzata. In tali circostanze, la ricorrente ha proposto dinanzi al Sąd Rejonowy dla m. st. Warszawy w Warszawie (Tribunale circondariale della città di Varsavia) un’azione contro M.W. fondata sull’articolo 299, paragrafo 1, del codice delle società commerciali, che prevede la responsabilità patrimoniale di un membro del consiglio di amministrazione della società debitrice qualora risulti impossibile recuperare un credito aggredendo gli attivi di detta società.
20. M.W. ha chiesto il rigetto di detta azione, sostenendo che la società NMW possedeva attivi aventi ciascuno un valore superiore al credito della ricorrente, vale a dire un codice sorgente di un software per acquisti online abbinato a un servizio di quasi‑cashback (in prosieguo: la «piattaforma M.») e due banche di dati degli utenti di tale piattaforma.
21. Il giudice del rinvio osserva, tuttavia, che la vendita della sola piattaforma M., senza dette banche di dati, non sarebbe così attraente sul mercato come la vendita dell’intero «pacchetto».
22. A parere di detto giudice, si rende quindi necessario chiarire se le banche di dati create dalla NMW possano essere cedute nell’ambito di un procedimento di esecuzione giudiziaria. Una risposta affermativa comporterebbe il rigetto del ricorso di cui al procedimento principale.
23. A tal proposito, il giudice del rinvio precisa che, pur non essendo vincolato alla valutazione del valore degli attivi controversi su cui M.W. si è fondata – tanto più che detta valutazione non è stata realizzata da un perito giudiziario –, la risposta alla succitata questione resta necessaria ai fini della risoluzione della controversia principale nella misura in cui le disposizioni che disciplinano la procedura civile polacca non consentono di acquisire tale prova senza che la sua pertinenza sia stata preliminarmente dichiarata.
24. Detto giudice ritiene che le banche di dati interessate rientrino nella nozione di «banca di dati» ai sensi dell’articolo 1 della direttiva 96/9/CE del Parlamento europeo e del Consiglio, dell’11 marzo 1996, relativa alla tutela giuridica delle banche di dati (3), cosicché il loro titolare, la società NMW, deterrebbe il diritto patrimoniale di cederle in forza dell’articolo 7 della direttiva in parola. Infatti, i procedimenti esecutivi potrebbero essere condotti a carico di qualsiasi diritto patrimoniale, salvo che tale possibilità sia espressamente esclusa da una disposizione di legge. Orbene, il legislatore polacco non avrebbe previsto alcuna norma che vieti di assoggettare ad esecuzione forzata una banca di dati come quella di cui al procedimento principale.
25. Il giudice del rinvio manifesta dubbi quanto alla possibilità che siffatte banche di dati possano essere oggetto di un’esecuzione giudiziaria, posto che esse contengono dati personali di centinaia di migliaia di utenti della piattaforma M. e che non esiste alcuna prova che gli utenti di detta piattaforma abbiano acconsentito al trattamento dei propri dati personali sotto forma di una loro messa a disposizione di terzi, al di fuori della piattaforma di cui trattasi. A tal proposito, esso ha precisato che i dati in parola non rientrano nelle categorie particolari di dati personali ai sensi dell’articolo 9 del RGPD.
26. Detto giudice si interroga anche sul rapporto tra le limitazioni al trattamento dei dati personali previste dal RGPD e il diritto di disporre liberamente di una banca di dati derivante dalla direttiva 96/9 e dal diritto nazionale, compreso, a suo avviso, il diritto di vendere la banca di dati nel corso di un procedimento esecutivo.
27. È in tale contesto che il Sąd Rejonowy dla m.st. Warszawy w Warszawie (Tribunale circondariale della città di Varsavia) ha deciso di sospendere il procedimento e di sottoporre alla Corte la seguente questione pregiudiziale:
«Se l’articolo 5, paragrafo 1, lettera a), in combinato disposto con l’articolo 6, paragrafo 1, lettere a), c) ed e), e con l’articolo 6, paragrafo 3, del [RGPD] debba essere interpretato nel senso che osta a una disciplina nazionale che permette la vendita in un procedimento esecutivo di una banca di dati ai sensi dell’articolo 1, paragrafo 2, della [direttiva 96/9] contenente dati personali, se le persone alle quali si riferiscono tali dati non hanno acconsentito a una siffatta vendita».
28. Il governo polacco e la Commissione europea hanno depositato osservazioni scritte. Tali medesimi interessati e la I. sono stati sentiti all’udienza del 16 novembre 2023.
Analisi
Sulla ricevibilità
29. Si rende necessario, anzitutto, affrontare due questioni vertenti sulla ricevibilità della presente questione pregiudiziale.
30. In primo luogo, la ricorrente nel procedimento principale ha espresso, in udienza, dubbi quanto alla pertinenza di tale questione. Secondo detta parte, già da qualche anno la società NMW avrebbe cessato la sua attività economica. Più precisamente, detta società non avrebbe più un consiglio di amministrazione né un organo direttivo e non erogherebbe più servizi agli utenti della piattaforma M. dall’aprile 2019 (4). Essa avrebbe, pertanto, necessariamente cessato ogni trattamento dei dati personali legati all’esercizio della sua attività. Date le circostanze, i principi di limitazione della finalità e di limitazione della conservazione avrebbero imposto la cancellazione dei dati di cui trattasi e, in mancanza di tale cancellazione, l’esistenza stessa delle banche di dati oggetto del procedimento principale risulterebbe illecita. Tenuto conto di quanto precede, la questione sollevata dal giudice del rinvio, vertendo sulla legittimità della vendita di dette banche di dati nell’ambito di un procedimento di esecuzione forzata, non sarebbe pertinente ai fini della risoluzione della controversia principale.
31. Occorre osservare che, ai sensi dell’articolo 5, paragrafo 1, lettera e), del RGPD, i dati personali (5) devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. Ne consegue che anche un trattamento inizialmente lecito di dati può divenire, con il tempo, incompatibile con il RGPD qualora tali dati non siano più necessari in rapporto al conseguimento di tali finalità (6). In una siffatta ipotesi i dati devono essere cancellati (7). Nel caso di specie, i dati di cui trattasi sono stati certamente raccolti ai fini dell’attività di vendita online esercitata dalla NMW. Se quest’ultima avesse cessato detta attività nell’aprile 2019, non vi sarebbe alcun dubbio che tali dati non sarebbero più stati necessari per la realizzazione di tale finalità e che avrebbero dovuto, pertanto, essere cancellati. In mancanza di una siffatta cancellazione, l’esistenza delle banche di dati in parola non sarebbe conforme al RGPD e l’irrilevanza della presente questione pregiudiziale ai fini della risoluzione della controversia principale sarebbe evidente.
32. Ciò premesso, occorre ricordare che, secondo una giurisprudenza consolidata, la Corte è legittimata unicamente a pronunciarsi sull’interpretazione del diritto dell’Unione con riferimento al contesto di fatto e di diritto definito dal giudice del rinvio, senza poterlo mettere in discussione o verificarne l’esattezza (8).
33. Orbene, da nessuno dei punti della decisione di rinvio emerge che la società NMW avrebbe cessato la sua attività nell’aprile 2019, come sostenuto dalla ricorrente.
34. In secondo luogo, il giudice del rinvio nutre dubbi quanto all’applicabilità del RGPD alla luce delle disposizioni della direttiva 96/9.
35. Occorre ricordare, in via preliminare, che la direttiva 96/9 mira a eliminare, attraverso il ravvicinamento delle normative nazionali, le differenze che esistevano tra queste ultime in materia di tutela giuridica delle banche di dati e che pregiudicavano il funzionamento del mercato interno, la libera circolazione di beni o servizi all’interno dell’Unione nonché lo sviluppo di un mercato dell’informazione nell’ambito della stessa (9). Conformemente al suo articolo 1, paragrafo 1, detta direttiva riguarda la tutela giuridica delle banche di dati, qualunque ne sia la forma, fermo restando che il paragrafo 2 di detto articolo definisce la «banca di dati» come «una raccolta di opere, dati o altri elementi indipendenti sistematicamente o metodicamente disposti ed individualmente accessibili grazie a mezzi elettronici o in altro modo».
36. La suddetta direttiva esige che tutti gli Stati membri prevedano nel loro diritto nazionale una tutela delle banche di dati mediante un diritto sui generis. Più precisamente, l’articolo 7, paragrafo 1, della direttiva 96/9 riserva al costitutore di una banca di dati che ha richiesto un investimento rilevante sotto il profilo qualitativo o quantitativo il diritto di vietare le operazioni di estrazione e/o reimpiego della totalità o di una parte sostanziale del contenuto della stessa. Detto diritto è alienabile ai sensi dell’articolo 7, paragrafo 3, della direttiva in parola.
37. Secondo il giudice del rinvio, le banche di dati di proprietà della società NMW soddisfano le condizioni per beneficiare della protezione assicurata dalla legge sulla tutela delle banche di dati e dalla direttiva 96/9, di cui la prima costituisce la trasposizione della seconda nell’ordinamento giuridico polacco. L’articolo 6 di detta legge prevede, in particolare, che il costitutore ha il diritto esclusivo e alienabile di estrarre e di reimpiegare i dati nella totalità o in una parte sostanziale. Si tratterebbe, quindi, secondo il giudice del rinvio, di un diritto patrimoniale che ha carattere assoluto e spiega effetti erga omnes. Conformemente al diritto polacco, ogni diritto patrimoniale può essere assoggettato a procedimento esecutivo, salvo eccezioni espressamente previste dalla legge. Orbene, il legislatore polacco non avrebbe previsto alcuna norma che vieti l’esecuzione forzata vertente su banche di dati. Nel caso di specie, l’ufficiale giudiziario sarebbe, quindi, titolare di un diritto di alienare le banche di dati per conto del creditore che deriverebbe dal diritto riconosciuto al costitutore assoggettato a procedimento esecutivo di disporne liberamente. L’invocazione di tale diritto potrebbe ostare all’applicazione delle norme del RGPD in un caso come quello qui in esame e comportare l’irricevibilità della presente questione.
38. Anzitutto, occorre osservare che il diritto sui generis riconosciuto all’articolo 7 della direttiva di cui trattasi non è correttamente identificato dal giudice del rinvio. Si tratta, in realtà, del diritto di opporsi ad operazioni consistenti, in particolare, nel ricostituire la banca di dati o una parte sostanziale di essa a un costo molto più basso rispetto a quello richiesto per crearla autonomamente (10), fermo restando che l’obiettivo perseguito dal legislatore dell’Unione è, quindi, quello di garantire alla persona che ha preso l’iniziativa e ha assunto il rischio di destinare un investimento rilevante al conseguimento, alla verifica o alla presentazione del contenuto di una banca di dati la remunerazione del suo investimento, tutelandola contro l’appropriazione non autorizzata dei risultati conseguiti attraverso di esso (11).
39. Inoltre e soprattutto, per quanto attiene al rapporto tra la direttiva 96/9 e il RGPD, dall’articolo 13 di detta direttiva risulta che essa non osta all’applicazione delle disposizioni concernenti segnatamente la tutela dei dati di carattere personale ed il rispetto della vita privata e dal considerando 48 di detta direttiva che le sue disposizioni non ostano all’applicazione delle norme sulla tutela dei dati di cui alla direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (12), cui il RGPD è succeduto (13).
40. Ritengo, pertanto, che la Corte debba pronunciarsi sul merito della presente causa.
Nel merito
41. Con la sua questione, il giudice del rinvio desidera sapere, sostanzialmente, se l’articolo 5, paragrafo 1, lettera a), e l’articolo 6, paragrafo 1, primo comma, lettere a), c), ed e), e paragrafo 3, del RGPD debbano essere interpretati nel senso che ostano a una disciplina nazionale che permette a un ufficiale giudiziario di vendere, nell’ambito di un procedimento di esecuzione forzata, una banca di dati contenente dati personali, se le persone alle quali si riferiscono tali dati non hanno acconsentito a una siffatta vendita.
42. La mia analisi giuridica si articolerà nel seguente modo. Per quanto attiene al RGPD, la questione dell’applicabilità di detto regolamento nel caso di specie e quella relativa all’identificazione del titolare del trattamento in questione saranno affrontate prima di concentrarsi sull’interpretazione delle norme che disciplinano la liceità di un siffatto trattamento.
43. Il ragionamento sviluppato nelle presenti conclusioni mostrerà come le disposizioni di diritto dell’Unione che la Corte è chiamata a prendere in considerazione coincidano solo in parte con quelle evocate nella questione pregiudiziale. La risposta proposta verterà pertanto su dette disposizioni (14).
Sull’esistenza di un trattamento e sull’identificazione del titolare del trattamento
44. Come emerge dal suo considerando 10, il RGPD mira in particolare ad assicurare un livello elevato di protezione delle persone fisiche all’interno dell’Unione e, a tal fine, ad assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali di tali persone con riguardo al trattamento dei dati personali in tutta l’Unione (15).
45. In forza del suo articolo 2, paragrafo 1, detto regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato quando tali dati sono contenuti in un archivio o destinati a figurarvi.
46. Il paragrafo 2 di detto articolo prevede una serie di eccezioni all’ambito di applicazione del regolamento di cui trattasi che sono fondate sulla tipologia di attività nel cui contesto tale trattamento si inserisce. Dalla giurisprudenza della Corte risulta che, tenuto conto della necessità di interpretare queste eccezioni restrittivamente, è necessario che detta attività sia inclusa tra quelle che sono espressamente menzionate all’articolo 2, paragrafo 2, del RGPD o che possa essere ascritta alla stessa categoria di tali attività. Così, la caratterizzazione di un’attività quale propria dello Stato o di un’autorità pubblica non è sufficiente per poter ritenere che il trattamento di cui trattasi è realizzato nel quadro di un’attività che non rientra nell’ambito di applicazione del diritto dell’Unione ai sensi dell’eccezione di cui all’articolo 2, paragrafo 2, lettera a), del RGPD (16).
47. Per quanto di nostro interesse, occorre osservare che il trattamento compiuto nel quadro dell’esecuzione forzata di un’azione civile non esula dall’ambito di applicazione di detto regolamento.
48. I contorni dell’ambito di applicazione del RGPD sono definiti dalla nozione di «trattamento». In forza dell’articolo 4, punto 2, di detto regolamento, la nozione di cui trattasi comprende qualsiasi operazione compiuta o meno con l’ausilio di processi automatizzati e applicata a dati personali o insiemi di dati personali, come, in particolare, «l’estrazione», «la consultazione», «l’uso» e qualsiasi altra forma di messa a disposizione di detti dati. Il legislatore ha pertanto inteso conferire una portata ampia a detta nozione (17).
49. Occorre chiedersi se, nel caso di specie, sia ravvisabile un trattamento di dati personali.
50. Si rende necessaria una precisazione preliminare. Le operazioni sui dati personali realizzate dalla società NMW ai fini dell’esercizio della sua attività di vendita online mediante la piattaforma M. non ricadono nel perimetro della questione posta dal giudice del rinvio. Detta questione concerne esclusivamente il procedimento esecutivo diretto alla vendita forzata delle banche di dati interessate. A parere del giudice del rinvio, un siffatto procedimento implicherebbe un trattamento ai sensi del RGPD di cui l’ufficiale giudiziario sarebbe il titolare.
51. A mio avviso, i chiarimenti forniti in udienza dal governo polacco con riferimento al compito assegnato all’ufficiale giudiziario nell’ambito di un siffatto procedimento di esecuzione forzata fugano ogni dubbio quanto alla correttezza di detta interpretazione.
52. Tale governo ha spiegato che il procedimento in parola inizia con il sequestro della banca di dati che consente all’ufficiale giudiziario di aver accesso ai dati personali ivi contenuti al fine di procedere alla stima del valore di detta banca di dati e di indicarlo nel verbale di sequestro. Per poter procedere a tale stima, l’ufficiale giudiziario compie una serie di operazioni che comprendono l’estrazione, la consultazione e l’uso di tali dati (18). Il procedimento di esecuzione forzata si conclude con la vendita della banca di dati mediante asta pubblica. Una volta che l’aggiudicazione diviene definitiva e il prezzo è stato integralmente versato, l’ufficiale giudiziario procede a mettere detta banca di dati a disposizione dell’acquirente.
53. Ne consegue che i dati personali contenuti in banche di dati come quelle di cui trattasi sono quantomeno estratti, consultati e usati dall’ufficiale giudiziario nell’ambito della stima del valore di dette banche di dati e poi messi a disposizione dell’acquirente. A tal proposito, occorre osservare che un trattamento di dati personali può essere costituito da più operazioni, ciascuna delle quali riguarda una delle diverse fasi nelle quali si può articolare un trattamento (19). Nel caso di specie, queste operazioni devono, pertanto, essere considerate come integranti un «trattamento» ai sensi del RGPD.
54. Occorre, poi, identificare il titolare di detto trattamento.
55. Ricordo che, in forza dell’articolo 4, punto 7, del RGPD, la nozione di «titolare del trattamento» comprende le persone fisiche o giuridiche, le autorità pubbliche, i servizi o gli altri organismi che, singolarmente o insieme ad altri, determinano le finalità e i mezzi del trattamento di dati personali (20). Detta disposizione precisa anche che, quando le finalità e i mezzi di tale trattamento sono determinati segnatamente dal diritto degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti da tale diritto. Secondo una giurisprudenza consolidata, una siffatta ampia definizione della nozione di «titolare del trattamento» è intesa a garantire une tutela efficace e completa degli interessati (21).
56. Secondo la giurisprudenza più recente, quando la determinazione delle finalità e degli strumenti del trattamento è effettuata dal diritto nazionale, occorre verificare se tale diritto designi il titolare del trattamento o se preveda i criteri specifici applicabili alla sua designazione. La designazione del titolare del trattamento da parte del diritto nazionale può essere non solo esplicita, ma anche implicita. In quest’ultima ipotesi, è tuttavia richiesto che tale determinazione derivi in maniera sufficientemente certa dal ruolo, dalla funzione e dalle attribuzioni devoluti alla persona o all’entità interessata (22).
57. Nel caso di specie, dall’articolo 3, paragrafo 1, della legge sugli ufficiali giudiziari emerge che l’ufficiale giudiziario è un’autorità pubblica che compie, fatte salve le eccezioni previste dalla legge, operazioni, in particolare, nell’ambito dei procedimenti di esecuzione forzata. Inoltre, come menzionato in precedenza, dal contenuto del fascicolo si evince che, quando l’esecuzione forzata ha ad oggetto banche di dati, tali operazioni consistono, segnatamente, nell’estrazione, nella consultazione e nell’uso dei dati personali ivi contenuti nell’ambito della stima del valore di dette banche di dati realizzata ai fini della loro vendita mediante asta pubblica, nonché nel mettere a disposizione dell’acquirente i dati di cui trattasi una volta che l’aggiudicazione sia divenuta definitiva. Mi sembra che, in tal modo, il diritto polacco abbia determinato, almeno implicitamente, le finalità e i mezzi del trattamento dei dati personali effettuato dall’ufficiale giudiziario.
58. Ne consegue che, nel caso di specie, l’ufficiale giudiziario, quale autorità pubblica incaricata della conduzione di tutti i procedimenti di esecuzione forzata, compresi quelli aventi ad oggetto una banca di dati, può essere considerato quale titolare del trattamento dei dati personali ivi contenuti ai sensi dell’articolo 4, punto 7, del RGPD.
59. Il giudice del rinvio non menziona alcuna disposizione di diritto polacco che preveda, a carico della società debitrice NMW, obblighi di collaborazione con l’ufficiale giudiziario per consentirgli di stimare il valore delle banche di dati interessate in vista della loro vendita forzata.
60. Non si può escludere che tali obblighi implicherebbero la realizzazione di un ulteriore trattamento ai sensi del RGPD, di cui la suddetta società sarebbe il titolare. A tal proposito, occorre ricordare che, nella sentenza Valsts ieņēmumu dienests (Trattamento di dati personali a fini fiscali), la Corte ha considerato che la comunicazione e la messa a disposizione dell’amministrazione tributaria di uno Stato membro, da parte di un operatore economico, di dati personali che quest’ultimo è giuridicamente tenuto a fornire implicavano un siffatto trattamento, che andava ad aggiungersi al trattamento effettuato da detta amministrazione attraverso la richiesta con cui domandava la comunicazione e la messa a disposizione di detti dati (23).
61. Meno verosimile, benché astrattamente ipotizzabile, è che l’ufficiale giudiziario e la società debitrice NMW possano essere considerati contitolari dei trattamenti operati sui dati personali di cui trattasi ai fini della vendita forzata. Secondo la sentenza État belge (Dati trattati da una Gazzetta ufficiale), tale conclusione è ipotizzabile quando le varie operazioni di trattamento sono accomunate da finalità e da mezzi determinati dal diritto nazionale e quest’ultimo definisce le rispettive responsabilità di ciascuno dei contitolari del trattamento (24).
62. Ciò detto, l’analisi che segue muove dalla premessa che, alla luce degli elementi del caso di specie, l’ufficiale giudiziario è il solo titolare del trattamento oggetto del procedimento principale.
63. Quale titolare del trattamento, l’ufficiale giudiziario non è soltanto responsabile del rispetto dei principi che reggono il trattamento dei dati personali (25), ma è altresì destinatario di un considerevole numero di obblighi, cui corrispondono i diritti degli interessati (26). Tali obblighi possono essere limitati unicamente dal legislatore nazionale alle condizioni previste all’articolo 23 del RGPD. Sentito in udienza sull’esistenza, nel diritto nazionale, di disposizioni legislative di tale natura, il governo polacco ha indicato soltanto l’articolo 4 della legge sulla tutela dei dati. Tuttavia, detto articolo limita unicamente la portata degli obblighi del titolare del trattamento che svolge una funzione pubblica, come risultanti dall’articolo 14, paragrafi 1, 2 e 4, del RGPD («Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato»).
Sulla liceità del trattamento dei dati personali in questione
64. Come ripetutamente dichiarato dalla Corte, ogni trattamento di dati personali deve, segnatamente, essere conforme ai principi in materia di trattamento dei dati personali enunciati nell’articolo 5, paragrafo 1, del RGPD e, alla luce del principio della liceità del trattamento, soddisfare le condizioni di liceità del trattamento elencate all’articolo 6 di detto regolamento (27).
65. L’articolo 6, paragrafo 1, primo comma, di detto regolamento stabilisce un elenco esaustivo e tassativo delle ipotesi in cui un trattamento di dati personali può essere qualificato come lecito. Una siffatta qualificazione implica che il trattamento ricada in una di dette ipotesi. Orbene, occorre ricordare che il trattamento di cui trattasi non ricade nel caso principale previsto da detta disposizione, vale a dire quello in cui l’interessato ha espresso il consenso al trattamento per una o più specifiche finalità (28). Come emerge dalla decisione di rinvio, nel corso del procedimento principale non è stata prodotta alcuna prova che consenta di ritenere che le persone alle quali si riferiscono i dati personali raccolti nelle banche di dati di cui trattasi abbiano acconsentito al trasferimento dei loro dati a terzi al di fuori dell’attività legata alla piattaforma M., in particolare a una loro vendita in esito a un procedimento di esecuzione forzata.
66. A parere del giudice del rinvio, il trattamento da parte dell’ufficiale giudiziario potrebbe ricadere nell’articolo 6, paragrafo 1, primo comma, lettera c), del RGPD (trattamento necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento), o nell’articolo 6, paragrafo 1, primo comma, lettera e), di detto regolamento (trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento) (29).
67. Come osserva il giudice del rinvio, l’articolo 3 della legge sugli ufficiali giudiziari conferisce all’ufficiale giudiziario lo status di autorità pubblica. Sarebbe difficile, a mio avviso, sostenere che le operazioni a lui affidate nell’ambito della realizzazione di un’esecuzione forzata diretta ad ottenere il soddisfacimento del creditore non siano espressione dell’esecuzione di un compito connesso all’esercizio dei pubblici poteri di cui detto ufficiale è investito.
68. Inoltre, non sarebbe agevole ritenere che alla situazione considerata trovi applicazione l’ipotesi di cui all’articolo 6, paragrafo 1, primo comma, lettera c), del RGPD. A tal proposito, occorre osservare che l’ambito di applicazione di detta disposizione è rigorosamente delimitato. Infatti, come emerge dal parere 6/2014 del gruppo di lavoro «Articolo 29» (30), l’obbligo legale cui è soggetto il titolare del trattamento deve essere sufficientemente chiaro riguardo al trattamento dei dati personali che richiede. Ciò implica, in particolare, l’esistenza di disposizioni giuridiche che si riferiscono espressamente alla natura e all’oggetto del trattamento (31).
69. Nel caso di specie, non credo che le disposizioni evocate dal giudice del rinvio, vale a dire l’articolo 3, paragrafo 1, l’articolo 9, paragrafo 1, punto 1, e l’articolo 31, paragrafo 1, prima frase, della legge sugli ufficiali giudiziari, nonché l’articolo 796, paragrafo 1, e l’articolo 799, paragrafo 1, prima frase, del codice di procedura civile, possano essere qualificate come tali, nella misura in cui da esse emerge unicamente che l’ufficiale giudiziario, nella sua veste di autorità pubblica, è tenuto a dar seguito a tutte le richieste aventi ad oggetto l’avvio di un’ esecuzione forzata con tutte le modalità consentite. Più precisamente, il diritto polacco non sembra imporre all’ufficiale giudiziario un obbligo legale di vendita forzata di una banca di dati contenente dati personali. A tal proposito, occorre osservare che l’articolo 831, paragrafo 1, punto 3, del codice di procedura civile esclude dall’esecuzione forzata i «diritti inalienabili», previsione questa che potrebbe essere interpretata come un divieto di cessione di una banca di dati nell’eventualità che detta vendita sia incompatibile con il RGPD.
70. In ogni caso, non è necessario escludere la pertinenza anche di quest’ultima ipotesi. Infatti, benché sia sufficiente che trovi applicazione una sola ipotesi di liceità, come conferma la formulazione dell’articolo 6, paragrafo 1, primo comma, del RGPD, la Corte ha ammesso che uno stesso trattamento può essere conforme a più d’una di tali ipotesi (32).
71. Pertanto, a mio avviso, il trattamento di cui trattasi ricade nell’ipotesi di liceità prevista nell’articolo 6, paragrafo 1, primo comma, lettera e), del RGPD.
72. Occorre osservare che detta ipotesi implica la presa in considerazione di un’altra condizione di liceità del trattamento. Infatti, l’articolo 6, paragrafo 3, del RGPD precisa che la base su cui si fonda il trattamento dei dati di cui, segnatamente, all’articolo 6, paragrafo 1, primo comma, lettera e), di detto regolamento deve essere stabilita dal diritto dell’Unione o dal diritto dello Stato membro cui è soggetto il titolare del trattamento e deve perseguire un obiettivo di interesse pubblico ed essere proporzionata all’obiettivo legittimo perseguito (33).
73. Il combinato disposto dell’articolo 6, paragrafo 1, primo comma, lettera e), e dell’articolo 6, paragrafo 3, del RGPD richiede, quindi, una base giuridica, segnatamente nazionale, per il trattamento dei dati personali da parte dei titolari di detto trattamento che agiscono, in particolare, nell’ambito dell’esecuzione di un compito connesso all’esercizio di pubblici poteri, come quello assicurato dall’ufficiale giudiziario nell’ambito dell’esecuzione forzata sugli attivi di una società (34).
74. A mio avviso, tale base giuridica è data dall’insieme delle disposizioni del diritto polacco menzionate nella prima frase del paragrafo 69 delle presenti conclusioni, da cui emerge che l’ufficiale giudiziario, nella sua veste di autorità pubblica, è tenuto a dar seguito a tutte le richieste aventi ad oggetto l’avvio di un’esecuzione forzata con tutte le modalità consentite.
75. La questione se il trattamento di cui trattasi sia conforme al RGPD impone, infine, di affrontare un’ulteriore problematica giuridica, centrale per la presente causa.
76. Osservo, infatti, che la finalità del trattamento dei dati personali realizzato dall’ufficiale giudiziario, vale a dire la vendita forzata di banche di dati relative agli utenti della piattaforma M. al fine di soddisfare i creditori della società NMW, differisce dalla finalità iniziale del trattamento dei dati personali da parte di detta società, vale a dire consentire l’utilizzo della piattaforma M. per le esigenze dell’attività di vendita online di detta società.
77. A tal proposito, occorre ricordare che, ai sensi dell’articolo 5, paragrafo 1, lettera b), del RGPD, che enuncia il principio della «limitazione della finalità», i dati personali devono, da un lato, essere raccolti per finalità determinate, esplicite e legittime e, dall’altro, essere successivamente trattati in modo che non sia incompatibile con tali finalità. Tuttavia, detta disposizione non contiene indicazioni sulle condizioni alle quali un ulteriore trattamento di dati personali può essere considerato compatibile con le finalità della raccolta iniziale di tali dati (35).
78. Dall’articolo 6, paragrafo 4, del RGPD, letto alla luce del considerando 50 di detto regolamento (36), risulta che una siffatta compatibilità implica la presa in considerazione di una serie di criteri, non esaustivi, ivi enumerati.
79. È evidente che la presa in considerazione di detti criteri nel caso di specie non potrebbe comportare una risposta affermativa quanto alla compatibilità delle finalità di cui trattasi. Come di recente precisato dalla Corte, tali criteri riflettono la necessità di un nesso concreto, logico e sufficientemente stretto tra le finalità della raccolta iniziale dei dati personali e l’ulteriore trattamento di tali dati, e consentono, quindi, di assicurarsi che tale ulteriore trattamento non si discosti dalle legittime aspettative degli interessati quanto all’ulteriore utilizzo dei loro dati (37). Orbene, un siffatto nesso non può essere riconosciuto nella presente causa.
80. In ogni caso, dalla prima frase dell’articolo 6, paragrafo 4, del RGPD si evince che la valutazione della compatibilità delle finalità diviene necessaria unicamente «[l]addove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1, [del RGPD]».
81. Nel caso di specie è pacifico che gli utenti della piattaforma M. non hanno acconsentito a un trattamento per una finalità diversa da quella per la quale i loro dati personali sono stati raccolti. Occorre, quindi, chiedersi se un siffatto trattamento sia fondato sul diritto nazionale o dell’Unione e se esso possa essere considerato come una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1, del RGPD.
82. A tal proposito, mi sembra necessario precisare che detta ipotesi è stata interpretata dalla Corte come integrante una vera e propria deroga al principio di limitazione della finalità. Fondandosi sul considerando 50 del RGPD, la Corte ha osservato che il titolare del trattamento può, quindi, sottoporre i dati di cui trattasi a ulteriore trattamento a prescindere dalla compatibilità di tale trattamento con le finalità per cui i tali dati sono stati inizialmente raccolti, al fine di salvaguardare gli importanti obiettivi di interesse pubblico generale enunciati nell’articolo 23, paragrafo 1, del RGPD. Essa ha così concluso che l’articolo 6, paragrafo 4, prima frase, di detto regolamento si applica alla produzione, come elemento di prova, di un documento contenente dati personali di terzi raccolti principalmente ai fini dei controlli fiscali disposta da un’autorità giurisdizionale nell’ambito di un procedimento giurisdizionale civile (38).
83. A mio avviso, questa interpretazione, benché possa non piacere a chi ritiene che il diritto alla protezione dei dati personali dovrebbe poter essere limitato unicamente da misure legislative nazionali, è pienamente conforme alle intenzioni del legislatore dell’Unione. Occorre ricordare, infatti, che le motivazioni della posizione del Consiglio nei lavori preparatori del RGPD esprimono, forse con ancor maggiore chiarezza del considerando 50 di detto regolamento, la scelta di riconoscere al titolare del trattamento un margine, accuratamente delimitato, per effettuare un trattamento incompatibile con le finalità indicate all’atto della raccolta dei dati personali oggetto di detto trattamento (39).
84. Posto che l’esistenza di una base giuridica a fondamento del trattamento di cui trattasi nel caso di specie è già stata dimostrata, occorre ora stabilire se detto trattamento sia diretto a salvaguardare gli obiettivi di cui all’articolo 23 del RGPD.
85. Osservo che tra detti obiettivi figura, conformemente al paragrafo 1, lettera j), di detta disposizione, «l’esecuzione delle azioni civili». Mi sembra che il trattamento dei dati personali in parola sia idoneo a garantire il soddisfacimento di tale obiettivo. A tal proposito, va osservato che, secondo il giudice del rinvio, la finalità di detto trattamento risulta dalla lettura dell’articolo 911 del codice di procedura civile in combinato disposto con l’articolo 31, paragrafo 1, prima frase, della legge sugli ufficiali giudiziari, che autorizza l’ufficiale giudiziario a vendere la banca di dati e, in seguito, a trasferire l’importo realizzato con detta vendita forzata al creditore.
86. La questione se il trattamento effettuato dall’ufficiale giudiziario nell’ambito del procedimento di esecuzione forzata si traduca in una misura necessaria e proporzionata in una società democratica per raggiungere l’obiettivo di assicurare l’esecuzione delle azioni civili rientra nella competenza del giudice del rinvio. Tuttavia, spetta alla Corte fornire a detto giudice, sulla base delle informazioni disponibili, tutte le indicazioni necessarie a tal fine alla luce del diritto dell’Unione (40).
87. Per quanto attiene alla necessità, è pacifico che una misura risulta necessaria quando il legittimo obiettivo perseguito non può essere conseguito mediante una misura parimenti appropriata, ma meno gravosa. In altre parole, occorre chiedersi se sia possibile assicurare l’esecuzione dell’azione della società creditrice mediante altre misure parimenti efficaci ma meno lesive dei diritti alla vita privata e alla protezione dei dati personali riconosciuti agli utenti della piattaforma M. A tal proposito, mi limito ad osservare che, secondo il giudice del rinvio, non è possibile soddisfare la società creditrice mediante il patrimonio della società debitrice senza procedere alla vendita forzata delle banche di dati di cui trattasi.
88. Quanto alla proporzionalità, la valutazione di tale condizione richiede di procedere a una ponderazione degli opposti interessi in gioco in funzione delle concrete circostanze dello specifico caso esaminato.
89. Nel caso di specie, il primo di questi interessi, che è un diritto fondamentale sancito dall’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta») e dall’articolo 16 TFUE, consiste nella protezione degli utenti della piattaforma M. con riguardo al trattamento dei dati personali. Strettamente legato ad esso è il diritto al rispetto della vita privata sancito dall’articolo 7 della Carta. Come enuncia il considerando 4 del RGPD, il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Uno di detti diritti è il diritto di proprietà, di cui all’articolo 17 della Carta. Orbene, la vendita di una banca di dati appartenente al debitore nell’ambito di un procedimento di esecuzione forzata contribuisce, a mio avviso, al rispetto del diritto di proprietà del titolare di un credito giudizialmente accertato.
90. A tal proposito, occorre ricordare che l’articolo 17 della Carta corrisponde all’articolo 1 del protocollo addizionale della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, firmata a Roma il 4 novembre 1950 (in prosieguo: la «CEDU»), cosicché, in forza dell’articolo 52, paragrafo 3, della Carta, il suo senso e la sua portata sono uguali a quelli conferiti dalla CEDU in detto articolo 1.
91. In base alla giurisprudenza della Corte europea dei diritti dell'uomo, il diritto di proprietà implica che gli Stati siano gravati da un obbligo positivo di creare un regime di esecuzione delle decisioni giudiziarie che sia effettivo sia nella pratica che in diritto e che consenta di garantire che le procedure previste dalla legislazione per l’esecuzione delle decisioni giudiziarie definitive siano attuate senza indebito ritardo (41). Quando il creditore è un soggetto privato, lo Stato è tenuto a fornire il contributo necessario ai creditori nell’ambito dell’esecuzione delle decisioni giudiziarie di cui trattasi, ad esempio, mediante i servizi degli ufficiali giudiziari (42). In tale contesto, quando le autorità sono tenute ad agire affinché sia data esecuzione a una decisione, e omettono di farlo, la loro inattività può implicare la responsabilità dello Stato nell’ambito, in particolare, dell’articolo 1 del protocollo addizionale n. 1 della CEDU (43).
92. A mio avviso, nell’esaminare questa ponderazione tra il diritto di proprietà, da un lato, e i diritti alla protezione dei dati personali e al rispetto della vita privata, dall’altro, potrebbe essere preso in considerazione un elemento specifico risultante dal fascicolo.
93. Secondo la decisione di rinvio, nessuna disposizione del diritto polacco introduce limitazioni a livello soggettivo rispetto all’acquirente della banca di dati, essendo prevista, quale unica condizione, il possesso della capacità giuridica; a fronte di questa lacuna il terzo acquirente può essere anche un soggetto stabilito al di fuori dell’Unione europea che non è tenuto, in quanto tale, al rispetto delle norme in materia di trattamento dei dati personali previste dal RGPD.
94. In una siffatta situazione, il trattamento in esame implicherebbe, a mio avviso, un sacrificio eccessivo del diritto alla protezione dei dati personali e non potrebbe, quindi, essere considerato una misura proporzionata. Un siffatto esito potrebbe essere evitato, ad esempio, attraverso una norma giuridica nazionale che imponga all’ufficiale giudiziario di includere nel bando redatto ai fini della vendita all’asta una clausola che imponga all’acquirente il rispetto delle norme del RGPD.
Conclusione
95. Alla luce delle considerazioni che precedono, propongo alla Corte di rispondere alla questione pregiudiziale sollevata dal Sąd Rejonowy dla m. st. Warszawy w Warszawie (Tribunale circondariale della città di Varsavia, Polonia) nei seguenti termini:
L’articolo 6, paragrafo 1, primo comma, lettera e), paragrafo 3 e paragrafo 4, prima frase, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),
deve essere interpretato nel senso che:
non osta a una normativa nazionale che consente a un ufficiale giudiziario di vendere, nell’ambito di un procedimento di esecuzione forzata, una banca di dati contenente dati personali, quando le persone alle quali si riferiscono tali dati non hanno acconsentito a una siffatta vendita, a condizione che il trattamento effettuato da detto ufficiale con riferimento a tali dati costituisca una misura necessaria e proporzionata in una società democratica per salvaguardare l’esecuzione di un’azione civile.
1 Lingua originale: il francese.
2 GU 2016, L 119, pag. 1.
3 GU 1996, L 77, pag. 20.
4 Il 30 aprile 2019 gli utenti della piattaforma M. avrebbero ricevuto un’e-mail che li informava che la NMW aveva cessato le sue attività legate a detta piattaforma.
5 Non è stata in alcun modo messa in dubbio la qualificazione dei dati contenuti nelle banche di dati oggetto del procedimento principale come «dati personali» ai sensi dell’articolo 4, punto 1, del RGPD.
6 Sentenza del 20 ottobre 2022, Digi (C‑77/21, EU:C:2022:805, punto 54).
7 Sentenza del 7 maggio 2009, Rijkeboer (C‑553/07, EU:C:2009:293, punto 33).
8 V. sentenza del 3 giugno 2021, Ministero dell’Istruzione, dell’Università e della Ricerca - MIUR e a. (Ricercatori universitari) (C‑326/19, EU:C:2021:438, punto 36 e giurisprudenza citata).
9 V. sentenza del 18 ottobre 2012, Football Dataco e a. (C‑173/11, EU:C:2012:642, punto 25 e giurisprudenza citata).
10 V. considerando 7 della direttiva 96/9.
11 V. considerando 39 e 40 della direttiva 96/9. V. altresì sentenza del 19 dicembre 2013, Innoweb (C‑202/12, EU:C:2013:850, punto 36).
12 GU 1995, L 281, pag. 31.
13 Contrariamente a quanto ritenuto dalla Commissione nelle sue osservazioni scritte, l’articolo 7, paragrafo 4, della direttiva 96/9 («La tutela delle banche di dati in base al diritto di cui al paragrafo 1 lascia impregiudicati i diritti esistenti sul loro contenuto») non disciplina il rapporto tra essa e il RGPD. V., a tal riguardo, considerando 18 di detta direttiva.
14 Secondo una giurisprudenza consolidata, al fine di fornire una risposta utile che consenta al giudice nazionale di dirimere la controversia che gli è sottoposta, la Corte può essere condotta a prendere in considerazione norme del diritto dell’Unione alle quali il giudice nazionale non ha fatto riferimento nel formulare la questione. V. sentenza del 21 dicembre 2023, Infraestruturas de Portugal e Futrifer Indústrias Ferroviárias (C‑66/22, EU:C:2023:1016, punto 41 e giurisprudenza citata).
15 Sentenza del 20 ottobre 2022, Digi (C‑77/21, EU:C:2022:805, punto 48).
16 V. sentenza del 9 luglio 2020, Land Hessen (C‑272/19, EU:C:2020:535, punto 70), in cui la Corte era chiamata a pronunciarsi sulla qualificazione come «titolare del trattamento» della commissione per le petizioni del Parlamento di detto Land. V. altresì sentenze del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità) (C‑439/19, EU:C:2021:504, punto 66), e del 20 ottobre 2022, Koalitsia «Demokratichna Bulgaria – Obedinenie» (C‑306/21, EU:C:2022:813, punto 39).
17 Questa interpretazione deriva, a parere della Corte, dalla formulazione della disposizione di cui trattasi, segnatamente dall’espressione «qualsiasi operazione» e dal carattere non esaustivo delle operazioni ivi elencate rivelato dal termine «come». V. sentenza del 24 febbraio 2022, Valsts ieņēmumu dienests (Trattamento di dati personali a fini fiscali) (C‑175/20, EU:C:2022:124, punto 35).
18 Qualora l’ufficiale giudiziario ritenga che la stima del valore di detta banca di dati richieda, in ragione delle sue caratteristiche specifiche, conoscenze specializzate, potrebbe essere nominato un perito. In tal caso, l’ufficiale giudiziario metterebbe la banca di dati a disposizione del perito.
19 Sentenza del 29 luglio 2019, Fashion ID (C‑40/17, EU:C:2019:629, punto 72). Per completezza, osservo che la sentenza citata verteva sull’interpretazione della nozione di «trattamento» come definita nell’articolo 2, lettera b), della direttiva 95/46. Benché la suddetta direttiva non sia più in vigore e sia stata sostituita dal RGPD, l’interpretazione fornita dalla Corte resta pertinente nell’ambito dell’applicazione di quest’ultimo, dato che la definizione di tale nozione permane identica in entrambi gli strumenti, fatta eccezione per talune lievi modifiche formali. Pertanto, mi riferirò alle sentenze relative all’uno o all’altro strumento, senza fare distinzioni.
20 Come dichiarato dalla Corte, l’obiettivo dell’articolo 4, punto 7, del RGPD è in effetti di garantire, attraverso una definizione ampia della nozione di «titolare del trattamento», una tutela efficace e completa degli interessati. V. sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, punto 29 e giurisprudenza citata).
21 Sentenza dell’8 dicembre 2022, Google (Deindicizzazione di contenuti asseritamente inesatti) (C‑460/20, EU:C:2022:962, punto 51 e giurisprudenza citata).
22 Sentenza dell’11 gennaio 2024, État belge (Dati trattati da una Gazzetta ufficiale) (C‑231/22, EU:C:2024:7, punti 29 e 30). V. altresì linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, adottate il 7 luglio 2021, disponibili al seguente indirizzo Internet: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_it, punto 24, secondo cui «più comunemente, anziché designare direttamente il titolare del trattamento o stabilire i criteri per la sua designazione, la legge definisce un compito o impone l’obbligo di raccogliere e trattare determinati dati. In tali casi, la finalità del trattamento è spesso determinata per legge. Il titolare del trattamento è di norma il soggetto cui la legge demanda la realizzazione di tale finalità, di tale funzione pubblica».
23 Sentenza del 24 febbraio 2022, Valsts ieņēmumu dienests (Trattamento di dati personali a fini fiscali) (C‑175/20, EU:C:2022:124, in particolare punti 37, 38 e 60).
24 Sentenza dell’11 gennaio 2024 (C‑231/22, EU:C:2024:7, punto 49). Tengo a precisare che, secondo la giurisprudenza, l’esistenza di una contitolarità non si traduce necessariamente in una responsabilità equivalente dei diversi attori interessati da un trattamento di dati personali. Al contrario, tali attori possono essere coinvolti in fasi diverse di tale trattamento e a diversi livelli, di modo che il grado di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze rilevanti del caso di specie. V., in tal senso, sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, punto 42 e giurisprudenza citata).
25 V. capo II del RGPD. Ai sensi dell’articolo 5, paragrafo 2, del RGPD, «[i]l titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».
26 V. capo III del RGPD.
27 Sentenza del 6 ottobre 2020, La Quadrature du Net e a. (C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 208 e giurisprudenza citata).
28 V. articolo 6, paragrafo 1, primo comma, lettera a), e considerando 40 del RGPD, che riflette l’adagio latino «volenti non fit iniuria» (a chi acconsente, non si fa danno).
29 Tale dubbio non sorprende, posto che esiste un’evidente sovrapposizione dei rispettivi ambiti di applicazione di dette due ipotesi, poiché i compiti di interesse pubblico o connessi all’esercizio di pubblici poteri si fondano, di norma, su una disposizione di legge.
30 Si tratta di un organo consultivo indipendente istituito in forza dell’articolo 29 della direttiva 95/46 e sostituito, dopo l’adozione del RGPD, dal Comitato europeo per la protezione dei dati.
31 A titolo esemplificativo, esso menziona l’obbligo, a carico di un’autorità locale, di raccogliere dati personali per la gestione delle multe per sosta vietata.
32 Sentenza del 9 marzo 2017, Manni (C‑398/15, EU:C:2017:197, punto 42).
33 V. altresì considerando 45 del RGPD.
34 V. sentenza del 2 marzo 2023, Norra Stockholm Bygg (C‑268/21, EU:C:2023:145, punto 32).
35 V. sentenza del 20 ottobre 2022, Digi (C‑77/21, EU:C:2022:805, punto 32).
36 Ai sensi di detto considerando, «[o]ve l’interessato abbia prestato il suo consenso o il trattamento si basi sul diritto dell’Unione o degli Stati membri che costituisce una misura necessaria e proporzionata in una società democratica per salvaguardare, in particolare, importanti obiettivi di interesse pubblico generale, il titolare del trattamento dovrebbe poter sottoporre i dati personali a ulteriore trattamento a prescindere dalla compatibilità delle finalità».
37 Sentenza del 20 ottobre 2022, Digi (C‑77/21, EU:C:2022:805, punto 36).
38 Sentenza del 2 marzo 2023, Norra Stockholm Bygg (C‑268/21, EU:C:2023:145, punti da 33 a 41).
39 Motivazioni del Consiglio: posizione (UE) n. 6/2016 del Consiglio in prima lettura in vista dell’adozione del regolamento del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), adottata in data 8 aprile 2016 (punto 3.3).
40 Sentenza del 7 settembre 2016, ANODE (C‑121/15, EU:C:2016:637, punto 54 e giurisprudenza citata).
41 Corte EDU, 7 giugno 2005, Fuklev c. Ucraina (CE:ECHR:2005:0607JUD007118601, § 91).
42 V., segnatamente, Corte EDU, 19 ottobre 2006, Kesyan c. Russia (CE:ECHR:2006:1019JUD003649602, § 80).
43 V., segnatamente, Corte EDU, 28 settembre 1995, Scollo c. Italia (CE:ECHR:1995:0928JUD001913391, § 44).