–

per UF e AB, da R. Rohrmoser e S. Tintemann, Rechtsanwälte;

–

per il Land Hessen, da M. Kottmann e G. Ziegenhorn, Rechtsanwälte;

–

per la SCHUFA Holding AG, da G. Thüsing e U. Wuermeling, Rechtsanwalt;

–

per il governo tedesco, da J. Möller e P.-L. Krüger, in qualità di agenti;

–

per il governo portoghese, da P. Barros da Costa, J. Ramos e C. Vieira Guerra, in qualità di agenti;

–

per la Commissione europea, da A. Bouchagiar, F. Erlbacher, H. Kranenborg e W. Wils, in qualità di agenti,

1

Le presenti domande di pronuncia pregiudiziale vertono sull’interpretazione degli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta») nonché dell’articolo 6, paragrafo 1, primo comma, lettera f), dell’articolo 17, paragrafo 1, lettera d), dell’articolo 40, dell’articolo 77, paragrafo 1, e dell’articolo 78, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; e rettifica in GU 2018, L 127, pag. 2, in prosieguo: il «RGPD»).

2

Tali domande sono state presentate nell’ambito di due controversie che oppongono UF (causa C‑26/22) e AB (causa C‑64/22) al Land Hessen (Land dell’Assia, Germania) in merito al rifiuto dello Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Commissario per la protezione dei dati e la libertà di informazione del Land dell’Assia, Germania) (in prosieguo: l’«HBDI») di ingiungere alla SCHUFA Holding AG (in prosieguo: la «SCHUFA») di procedere alla soppressione di dati conservati da quest’ultima relativi alle esdebitazioni di UF e di AB.

3

Ai sensi dei considerando 26 e 28 della direttiva 2008/48/CE del Parlamento europeo e del Consiglio, del 23 aprile 2008, relativa ai contratti di credito ai consumatori e che abroga la direttiva 87/102/CEE (GU 2008, L 133, pag. 66):

(...)

4

L’articolo 8 della citata direttiva, rubricato «Obbligo di verifica del merito creditizio del consumatore», prevede, al suo paragrafo 1:

«Gli Stati membri provvedono affinché, prima della conclusione del contratto di credito, il creditore valuti il merito creditizio del consumatore sulla base di informazioni adeguate, se del caso fornite dal consumatore stesso e, ove necessario, ottenute consultando la banca dati pertinente. Gli Stati membri la cui normativa prevede già una valutazione del merito creditizio del consumatore consultando una banca dati pertinente possono mantenere tale obbligo».

5

Ai sensi dei considerando 55 e 59 della direttiva 2014/17/UE del Parlamento europeo e del Consiglio, del 4 febbraio 2014, in merito ai contratti di credito ai consumatori relativi a beni immobili residenziali e recante modifica delle direttive 2008/48/CE e 2013/36/UE e del regolamento (UE) n. 1093/2010 (GU 2014, L 60, pag. 34):

(...)

6

L’articolo 18 della citata direttiva, rubricato «Obbligo di verifica del merito creditizio del consumatore», prevede, al suo paragrafo 1:

«Gli Stati membri provvedono affinché, prima della conclusione di un contratto di credito, il creditore svolga una valutazione approfondita del merito creditizio del consumatore. Tale valutazione tiene adeguatamente conto dei fattori pertinenti ai fini della verifica delle prospettive di adempimento da parte del consumatore degli obblighi stabiliti dal contratto di credito».

7

L’articolo 21 di detta direttiva, intitolato «Accesso alle banche dati», ai paragrafi 1 e 2 enuncia quanto segue:

«1.   Ciascuno Stato membro garantisce a tutti i creditori l’accesso di tutti gli Stati membri alle banche dati utilizzate nello Stato membro in questione per valutare il merito creditizio dei consumatori e al solo scopo di verificare che i consumatori rispettino gli obblighi di credito per tutta la durata del contratto di credito. Le condizioni di tale accesso non sono discriminatorie.

2.   Il paragrafo 1 si applica sia alle banche dati gestite da credit bureau privati o da sistemi di informazione creditizia privati sia ai registri pubblici».

8

Ai sensi del considerando 76 del regolamento (UE) 2015/848 del Parlamento europeo e del Consiglio, del 20 maggio 2015, relativo alle procedure di insolvenza (GU 2015, L 141, pag. 19):

«Per migliorare la disposizione di informazione nei confronti dei pertinenti creditori e dei giudici, ed evitare l’apertura di procedure d’insolvenza parallele, gli Stati membri dovrebbero pubblicare in un registro elettronico accessibile al pubblico le informazioni pertinenti relative a casi d’insolvenza transfrontalieri. Per facilitare l’accesso di creditori e giudici domiciliati o situati in altri Stati membri a tali informazioni, è opportuno che il presente regolamento disponga l’interconnessione di tali registri fallimentari attraverso il portale europeo della giustizia elettronica. (...)».

9

L’articolo 79 di tale regolamento, intitolato «Responsabilità degli Stati membri riguardo al trattamento dei dati personali nei registri fallimentari nazionali», ai paragrafi 4 e 5 prevede quanto segue:

«4.   Gli Stati membri sono responsabili, ai sensi della direttiva 95/46/CE [del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31)], della raccolta e della conservazione dei dati nelle banche dati nazionali e delle decisioni prese per rendere tali dati disponibili nel registro interconnesso consultabile attraverso il portale europeo della giustizia elettronica.

5.   Nel quadro dell’informativa agli interessati volta a consentire a questi ultimi di esercitare i loro diritti, in particolare il diritto alla cancellazione dei dati, gli Stati membri informano gli interessati del periodo di accessibilità fissato per i dati personali conservati nei registri fallimentari».

10

Ai sensi dei considerando 10, 11, 47, 50, 98, 141 e 143 del RGPD:

(...)

(...)

(...)

(...)

(...)

11

L’articolo 5 di tale regolamento, intitolato «Principi applicabili al trattamento di dati personali», è così formulato:

«1.   I dati personali sono:

(…)

(...)

2.   Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».

12

L’articolo 6 del suddetto regolamento, rubricato «Liceità del trattamento», prevede quanto segue:

«1.   Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

(...)

(...)

4.   Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l’altro:

13

L’articolo 17 del RGPD, intitolato «Diritto alla cancellazione (“diritto all’oblio”)», al paragrafo 1 enuncia quanto segue:

«L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

(...)

(...)».

14

L’articolo 21 di tale regolamento, intitolato «Diritto di opposizione», ai suoi paragrafi 1 e 2 così dispone:

«1.   L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

2.   Qualora i dati personali siano trattati per finalità di marketing diretto, l’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto».

15

L’articolo 40 di detto regolamento, intitolato «Codici di condotta», ai paragrafi 1, 2 e 5, enuncia quanto segue:

«1.   Gli Stati membri, le autorità di controllo, il comitato e la Commissione [europea] incoraggiano l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese.

2.   Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare l’applicazione del presente regolamento, ad esempio relativamente a:

(...)

5.   Le associazioni e gli altri organismi di cui al paragrafo 2 del presente articolo che intendono elaborare un codice di condotta o modificare o prorogare un codice esistente sottopongono il progetto di codice, la modifica o la proroga all’autorità di controllo competente ai sensi dell’articolo 55. L’autorità di controllo esprime un parere sulla conformità al presente regolamento del progetto di codice, della modifica o della proroga e approva tale progetto, modifica o proroga, se ritiene che offra in misura sufficiente garanzie adeguate».

16

L’articolo 51 del RGPD, intitolato «Autorità di controllo», al paragrafo 1 prevede quanto segue:

«Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione (l’“autorità di controllo”)».

17

L’articolo 52 di tale regolamento, intitolato «Indipendenza», ai paragrafi 1, 2 e 4 così dispone:

«1.   Ogni autorità di controllo agisce in piena indipendenza nell’adempimento dei propri compiti e nell’esercizio dei propri poteri conformemente al presente regolamento.

2.   Nell’adempimento dei rispettivi compiti e nell’esercizio dei rispettivi poteri previsti dal presente regolamento, il membro o i membri di ogni autorità di controllo non subiscono pressioni esterne, né dirette, né indirette, e non sollecitano né accettano istruzioni da alcuno.

(...)

4.   Ogni Stato membro provvede affinché ogni autorità di controllo sia dotata delle risorse umane, tecniche e finanziarie, dei locali e delle infrastrutture necessari per l’effettivo adempimento dei suoi compiti e l’esercizio dei propri poteri, compresi quelli nell’ambito dell’assistenza reciproca, della cooperazione e della partecipazione al comitato».

18

L’articolo 57 di detto regolamento, intitolato «Compiti», al suo paragrafo 1 enuncia quanto segue:

«Fatti salvi gli altri compiti indicati nel presente regolamento, sul proprio territorio ogni autorità di controllo:

(...)

(...)».

19

L’articolo 58 del RGPD, intitolato «Poteri», elenca, al paragrafo 1, i poteri di indagine di cui ciascuna autorità di controllo dispone e, al suo paragrafo 2, le misure correttive che quest’ultima può adottare.

20

L’articolo 77 di tale regolamento, intitolato «Diritto di proporre reclamo all’autorità di controllo», è così formulato:

«1.   Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione.

2.   L’autorità di controllo a cui è stato proposto il reclamo informa il reclamante dello stato o dell’esito del reclamo, compresa la possibilità di un ricorso giurisdizionale ai sensi dell’articolo 78».

21

L’articolo 78 dello stesso regolamento, intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo», ai suoi paragrafi 1 e 2, così prevede:

«1.   Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda.

2.   Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ciascun interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora l’autorità di controllo che sia competente ai sensi degli articoli 55 e 56 non tratti un reclamo o non lo informi entro tre mesi dello stato o dell’esito del reclamo proposto ai sensi dell’articolo 77».

22

L’articolo 79 del RGPD, intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento», al paragrafo 1 così recita:

«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento».

23

Ai sensi dell’articolo 9, paragrafo 1, dell’Insolvenzordnung (legge sulle procedure di insolvenza), del 5 ottobre 1994 (BGBl, 1994 I, pag. 2866), nella sua versione applicabile ai fatti principali:

«La pubblicazione ufficiale avviene mediante pubblicazione su Internet a livello centrale per tutti i Länder; può essere effettuata per estratto. Il debitore deve essere identificato con precisione, in particolare indicando il suo indirizzo e il suo settore di attività. La pubblicazione si considera perfezionata una volta decorsi altri due giorni da quello in cui è stata effettuata».

24

L’articolo 3 della Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (regolamento sulle pubblicazioni nelle procedure d’insolvenza su Internet), del 12 febbraio 2002 (BGBl. I, pag. 677; in prosieguo: l’«InsoBekV»), enuncia, ai paragrafi 1 e 2, quanto segue:

«1)   La pubblicazione in un sistema elettronico di informazione e comunicazione dei dati relativi a una procedura d’insolvenza, compresa la procedura d’apertura, deve essere cancellata al più tardi entro sei mesi dall’annullamento della procedura di insolvenza o dal momento in cui la sua sospensione è divenuta definitiva. In caso di mancato avvio della procedura, il termine inizia a decorrere dall’annullamento delle misure conservative pubblicate.

2)   Il paragrafo (1), prima frase, si applica alle pubblicazioni nell’ambito della procedura di esdebitazione, compresa l’ordinanza di cui all’articolo 289 della legge sulle procedure di insolvenza, fermo restando che il termine inizia a decorrere dal momento in cui la decisione di esdebitazione è divenuta definitiva».

25

Nell’ambito delle procedure di insolvenza che li riguardano, UF e AB hanno ottenuto un’esdebitazione anticipata sulla base di ordinanze giudiziarie pronunciate, rispettivamente, il 17 dicembre 2020 e il 23 marzo 2021. In linea con quanto previsto all’articolo 9, paragrafo 1, dell’Insolvenzordnung e all’articolo 3, paragrafi 1 e 2, dell’InsoBekV, la pubblicazione ufficiale su Internet di tali decisioni è stata cancellata trascorsi sei mesi dalla data di adozione.

26

La SCHUFA è una società che fornisce informazioni commerciali che registra e archivia, nelle proprie banche dati, informazioni provenienti da registri pubblici, in particolare informazioni relative alle esdebitazioni anticipate. Essa sopprime queste ultime informazioni dopo tre anni dalla registrazione, conformemente al codice di condotta elaborato, in Germania, dall’associazione che riunisce le società che forniscono informazioni commerciali, e approvato dall’autorità di controllo competente.

27

UF e AB si sono rivolti alla SCHUFA per ottenere da quest’ultima la cancellazione delle iscrizioni relative alle decisioni di esdebitazione di cui erano stati oggetto. Tale società ha rifiutato di accogliere le loro domande, dopo aver spiegato che la sua attività aveva luogo nel rispetto del RGPD e che il termine di cancellazione di sei mesi previsto all’articolo 3, paragrafo 1, dell’InsoBekV non era ad essa applicabile.

28

Sia UF che AB hanno, quindi, proposto un reclamo all’HBDI quale autorità di controllo competente.

29

Con decisioni, rispettivamente, del 1o marzo 2021 e del 9 luglio 2021, l’HBDI ha ritenuto lecito il trattamento dei dati effettuato dallo SCHUFA.

30

UF e AB hanno presentato, ciascuno, un ricorso avverso il parere dell’HBDI dinanzi al Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden, Germania), giudice del rinvio. A sostegno di tali ricorsi, essi hanno fatto valere che l’HBDI è tenuto, nel quadro dei suoi compiti e dei suoi poteri, ad adottare provvedimenti nei confronti della SCHUFA al fine di imporre la cancellazione delle iscrizioni che li riguardano

31

Nel controricorso, l’HBDI ha chiesto il rigetto dei ricorsi.

32

Da un lato, l’HBDI ha sostenuto che il diritto di presentare un reclamo, previsto all’articolo 77, paragrafo 1, del RGPD, è concepito come un solo diritto di petizione. Il controllo giurisdizionale si limiterebbe dunque a verificare che l’autorità di controllo abbia trattato il reclamo e abbia informato il suo autore dello stato e dell’esito dello stesso. Per contro, il giudice non dovrebbe esaminare la correttezza nel merito della decisione emanata sul reclamo.

33

Dall’altro lato, l’HBDI ha sottolineato che i dati ai quali le società che forniscono informazioni commerciali hanno accesso possono essere conservati per tutto il tempo necessario ai fini per i quali sono stati conservati. In assenza di una normativa prevista dal legislatore nazionale, le autorità di controllo avrebbero adottato codici di condotta e quello elaborato dall’associazione che raggruppa le società che forniscono informazioni commerciali prevedrebbe la cancellazione di tali dati esattamente tre anni dopo l’iscrizione nel registro.

34

A tal riguardo, in primo luogo, il giudice del rinvio reputa necessario chiarire la natura giuridica della decisione che l’autorità di controllo emana dopo essere stata investita di un reclamo ai sensi dell’articolo 77, paragrafo 1, del RGPD.

35

In particolare, tale giudice nutre dubbi quanto alla compatibilità dell’argomentazione dell’HBDI con il RGPD, dal momento che essa equivarrebbe a compromettere l’effettività del ricorso giurisdizionale di cui all’articolo 78, paragrafo 1, del RGPD. Inoltre, alla luce dell’obiettivo di tale regolamento, consistente, nel quadro dell’attuazione degli articoli 7 e 8 della Carta, nel garantire una tutela efficace delle libertà e dei diritti fondamentali delle persone fisiche, gli articoli 77 e 78 di detto regolamento non possono essere interpretati in maniera restrittiva.

36

Detto giudice propugna un’interpretazione secondo la quale la decisione adottata nel merito dall’autorità di controllo deve essere sottoposta ad un sindacato giurisdizionale completo da parte del giudice. Tale autorità disporrebbe tuttavia sia di un potere di valutazione che di un potere discrezionale e sarebbe tenuta a intervenire solo laddove non possano essere individuate alternative legittime.

37

In secondo luogo, il giudice del rinvio si interroga, sotto un duplice profilo, sulla liceità della conservazione, presso le società che forniscono informazioni commerciali, di dati relativi alla solvibilità di una persona provenienti da registri pubblici, come il registro fallimentare.

38

In primo luogo, sussisterebbero dubbi quanto alla liceità della conservazione da parte di una società privata come la SCHUFA, nelle proprie banche dati, dei dati trasferiti da registri pubblici.

39

Infatti, anzitutto, tale conservazione avverrebbe non già in occasione di un caso concreto, bensì nell’eventualità in cui i loro partner contrattuali chiedano loro siffatte informazioni e darebbe luogo, in definitiva, a un’archiviazione di tali dati, soprattutto quando questi ultimi sono già stati cancellati dal registro pubblico a causa della scadenza del termine di conservazione.

40

Inoltre, un trattamento e quindi una conservazione di dati sarebbero autorizzati solo se è soddisfatta una delle condizioni previste all’articolo 6, paragrafo 1, del RGPD. Nel caso di specie, sarebbe rilevante solo la condizione di cui all’articolo 6, paragrafo 1, primo comma, lettera f), di tale regolamento. Orbene, sarebbe dubbio che una società che fornisce informazioni commerciali come la SCHUFA persegua un interesse legittimo ai sensi di tale disposizione.

41

Inoltre, la SCHUFA sarebbe solo una delle varie società che forniscono informazioni commerciali, con la conseguenza che i dati sarebbero conservati in Germania in molteplici forme, il che comporterebbe una grave violazione del diritto fondamentale di cui all’articolo 7 della Carta.

42

In secondo luogo, anche supponendo che la conservazione da parte di società di dati provenienti da registri pubblici sia di per sé lecita, si porrebbe la questione della durata possibile di una siffatta conservazione.

43

A tal riguardo, il giudice del rinvio ritiene che si dovrebbe esigere da tali società il rispetto del termine di sei mesi previsto all’articolo 3 dell’InsoBekV relativo alla conservazione nel registro fallimentare delle decisioni di esdebitazione. Di conseguenza, i dati da cancellare dal registro pubblico dovrebbero anche essere cancellati contemporaneamente da tutte le società che forniscono informazioni commerciali che hanno conservato tali dati.

44

Del resto, si porrebbe la questione se un codice di condotta approvato conformemente all’articolo 40 del RGPD, che prevede un termine di cancellazione di tre anni per l’iscrizione relativa all’esdebitazione, debba essere preso in considerazione in occasione della ponderazione che deve essere effettuata nell’ambito della valutazione di cui all’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD.

45

In tali circostanze, il Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

46

Con decisione del presidente della Corte dell’11 febbraio 2022 le cause C‑26/22 e C‑64/22 sono state riunite ai fini delle fasi scritta e orale del procedimento, nonché della sentenza.

47

Con la sua prima questione, il giudice del rinvio chiede, in sostanza, se l’articolo 78, paragrafo 1, del RGPD debba essere interpretato nel senso che il controllo giurisdizionale esercitato su una decisione su reclamo adottata da un’autorità di controllo si limita a stabilire se tale autorità abbia trattato il reclamo, adeguatamente indagato sull’oggetto di quest’ultimo e informato il reclamante della conclusione dell’esame, o se tale decisione debba essere oggetto di un sindacato giurisdizionale completo, compreso il potere del giudice adito di imporre all’autorità di controllo di adottare una misura concreta.

48

Per rispondere alla questione sollevata, occorre ricordare, in via preliminare, che l’interpretazione di una disposizione del diritto dell’Unione richiede di tener conto non soltanto della sua formulazione, ma anche del contesto in cui essa si inserisce nonché degli obiettivi e della finalità che persegue l’atto di cui essa fa parte (sentenza del 22 giugno 2023, Pankki S, C‑579/21, EU:C:2023:501, punto 38 e giurisprudenza citata).

49

Per quanto riguarda i termini dell’articolo 78, paragrafo 1, del RGPD, tale disposizione prevede che, fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda.

50

A tale proposito occorre anzitutto rilevare che, nel caso di specie, le decisioni adottate dall’HBDI costituiscono decisioni giuridicamente vincolanti, ai sensi di tale articolo 8, paragrafo 1. Infatti, dopo aver esaminato la fondatezza dei reclami dei quali era stata adita, tale autorità ha constatato che il trattamento dei dati personali contestato dai ricorrenti principali era lecito in forza del RGPD. Il carattere giuridicamente vincolante di tali decisioni è, peraltro, confermato dal considerando 143 di tale regolamento, secondo il quale il rifiuto o il rigetto di un reclamo da parte di un’autorità di controllo costituisce una decisione che produce effetti giuridici nei confronti del reclamante.

51

Occorre altresì rilevare che da tale disposizione, letta alla luce del considerando 141 di tale regolamento, risulta esplicitamente che ogni interessato ha il diritto a un ricorso giurisdizionale «effettivo», conformemente all’articolo 47 della Carta.

52

Pertanto, la Corte ha già dichiarato che dall’articolo 78, paragrafo 1, del RGPD, letto alla luce del considerando 143 di tale regolamento, discende che i giudici investiti di un ricorso avverso una decisione di un’autorità di controllo dovrebbero disporre della piena competenza e, in particolare, di quella a esaminare tutte le questioni di fatto e di diritto relative alla controversia ad essi sottoposta (sentenza del 12 gennaio 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punto 41).

53

Pertanto, l’articolo 78, paragrafo 1, del RGPD non può essere interpretato nel senso che il controllo giurisdizionale esercitato su una decisione su reclamo adottata da un’autorità di controllo si limiti alla questione se tale autorità abbia trattato il reclamo, indagato in modo adeguato sull’oggetto di quest’ultimo e informato il reclamante della conclusione dell’esame. Al contrario, affinché un ricorso giurisdizionale sia «effettivo», come richiesto da tale disposizione, una siffatta decisione deve essere sottoposta ad un sindacato giurisdizionale completo.

54

Tale interpretazione è corroborata dal contesto in cui si inserisce l’articolo 78, paragrafo 1, del RGPD, nonché dagli obiettivi e dalla finalità perseguiti da tale regolamento.

55

Per quanto riguarda il contesto in cui si inserisce tale disposizione, occorre rilevare che, conformemente all’articolo 8, paragrafo 3, della Carta, nonché all’articolo 51, paragrafo 1, e all’articolo 57, paragrafo 1, lettera a), del RGPD, le autorità nazionali di controllo sono incaricate di controllare il rispetto delle norme dell’Unione relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (sentenza del 16 luglio 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559, punto 107).

56

Inoltre, a norma dell’articolo 57, paragrafo 1, lettera f), del RGDP, ogni autorità di controllo è tenuta, nel suo territorio, a trattare i reclami che qualsiasi persona, ai sensi dell’articolo 77, paragrafo 1, di tale regolamento, ha il diritto di proporre quando considera che un trattamento di dati personali che la riguardano costituisca una violazione di tale regolamento, e ad esaminarne l’oggetto nella misura necessaria. L’autorità di controllo deve trattare un siffatto reclamo con la dovuta diligenza (sentenza del 16 luglio 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559, punto 109).

57

Ai fini del trattamento dei reclami presentati, l’articolo 58, paragrafo 1, del RGDP conferisce a ciascuna autorità di controllo significativi poteri di indagine. Quando una siffatta autorità constata, al termine della sua indagine, una violazione delle disposizioni di tale regolamento, essa è tenuta a reagire in modo appropriato al fine di porre rimedio all’inadeguatezza constatata. A tal fine, l’articolo 58, paragrafo 2, di tale regolamento elenca le diverse misure correttive che l’autorità di controllo può adottare (v., in tal senso, sentenza del 16 luglio 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559, punto 111).

58

Ne consegue, come rilevato dall’avvocato generale al paragrafo 42 delle sue conclusioni, che la procedura di reclamo, che non è simile a quella di una petizione, è concepita come un meccanismo idoneo a salvaguardare efficacemente i diritti e gli interessi delle persone coinvolte.

59

Orbene, alla luce degli ampi poteri di cui l’autorità di controllo è investita in forza del RGPD, l’esigenza di una tutela giurisdizionale effettiva non sarebbe soddisfatta se le decisioni riguardanti l’esercizio, da parte di una siffatta autorità di controllo, di poteri di indagine o di adozione di misure correttive non fossero soggette solo a un sindacato giurisdizionale ristretto.

60

Lo stesso vale per le decisioni di rigetto di un reclamo, dato che l’articolo 78, paragrafo 1, del RGPD non distingue a seconda della natura della decisione adottata dall’autorità di controllo.

61

Per quanto riguarda gli obiettivi perseguiti da detto regolamento, risulta, segnatamente, dal considerando 10 dello stesso che esso mira ad assicurare un elevato livello di protezione delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. Il considerando 11 di tale regolamento enuncia, inoltre, che un’efficace protezione di tali dati presuppone un rafforzamento dei diritti delle persone interessate.

62

Orbene, se l’articolo 78, paragrafo 1, di detto regolamento dovesse essere interpretato nel senso che il controllo giurisdizionale che esso mira si limita a verificare se l’autorità di controllo abbia trattato il reclamo, indagato in modo adeguato sull’oggetto di quest’ultimo e informato il reclamante della conclusione dell’esame, ne risulterebbero necessariamente compromessi la realizzazione degli obiettivi e il perseguimento della finalità del regolamento stesso.

63

Inoltre, l’interpretazione di tale disposizione secondo la quale una decisione su reclamo adottata da un’autorità di controllo è oggetto di un sindacato giurisdizionale completo non rimette in discussione le garanzie di indipendenza di cui beneficiano le autorità di controllo, né il diritto a un ricorso giurisdizionale effettivo contro un titolare del trattamento o un responsabile del trattamento.

64

In primo luogo, è vero che, conformemente all’articolo 8, paragrafo 3, della Carta, il rispetto delle norme in materia di protezione dei dati personali è soggetto al controllo di un’autorità indipendente. In tale contesto, l’articolo 52 del RGPD precisa, in particolare, che ciascuna autorità di controllo agisce in piena indipendenza nell’adempimento dei propri compiti e nell’esercizio dei propri poteri, di cui è investita a norma di tale regolamento (paragrafo 1), che, nell’adempimento dei rispettivi compiti e nell’esercizio dei rispettivi poteri, il membro o i membri di ogni autorità di controllo non subiscono pressioni esterne (paragrafo 2), e che ogni Stato membro provvede affinché ogni autorità di controllo sia dotata delle risorse necessarie per l’effettivo adempimento dei suoi compiti e l’esercizio dei suoi poteri (paragrafo 4).

65

Tuttavia, tali garanzie di indipendenza non sono punto compromesse dal fatto che le decisioni giuridicamente vincolanti di un’autorità di controllo sono soggette ad un sindacato giurisdizionale completo.

66

In secondo luogo, per quanto riguarda il diritto a un ricorso giurisdizionale effettivo contro un responsabile del trattamento o un incaricato del trattamento, previsto dall’articolo 79, paragrafo 1, del RGPD, va notato che, secondo la giurisprudenza della Corte, i rimedi previsti rispettivamente dall’articolo 78, paragrafo 1, e dall’articolo 79, paragrafo 1, di tale regolamento possono essere esercitati in modo concomitante e indipendente (sentenza del 12 gennaio 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, paragrafo 35 e dispositivo). In questo contesto, la Corte ha affermato, segnatamente, che la messa a disposizione di diversi mezzi di ricorso rafforza l’obiettivo enunciato al considerando 141 di detto regolamento di garantire che qualsiasi interessato che ritenga che i suoi diritti ai sensi del regolamento siano stati violati abbia il diritto a un ricorso giurisdizionale effettivo ai sensi dell’articolo 47 della Carta (sentenza del 12 gennaio 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punto 44).

67

Di conseguenza, anche se spetta a ciascuno Stato membro, in forza del principio di autonomia processuale, stabilire le modalità di utilizzo di tali rimedi (sentenza del 12 gennaio 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punto 45 e dispositivo), l’esistenza del diritto a un ricorso giurisdizionale effettivo nei confronti di un responsabile del trattamento o di un incaricato del trattamento, previsto dall’articolo 79, paragrafo 1, del RGPD, non ha alcuna incidenza sulla portata del sindacato giurisdizionale esercitato, nell’ambito di un ricorso proposto ai sensi dell’articolo 78, paragrafo 1, di tale regolamento, su una decisione relativa a un reclamo adottata da un’autorità di controllo.

68

Occorre tuttavia aggiungere che, se da un lato, come sottolineato al punto 56 della presente sentenza, l’autorità di controllo deve trattare un reclamo con la dovuta diligenza, dall’altro, per quanto riguarda i rimedi elencati all’articolo 58, paragrafo 2, del RGPD, tale autorità dispone di un margine di discrezionalità per quanto riguarda la scelta di un mezzo appropriato e necessario (v., in tal senso, sentenza del 16 luglio 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559, punto 112).

69

Orbene, sebbene il giudice nazionale investito di un ricorso ai sensi dell’articolo 78, paragrafo 1, del RGPD debba, come constatato al punto 52 della presente sentenza, disporre di una piena competenza per esaminare tutte le questioni di fatto e di diritto relative alla controversia di cui trattasi, la garanzia di una tutela giurisdizionale effettiva non implica che esso sia legittimato a sostituire la sua valutazione della scelta delle misure correttive appropriate e necessarie a quella di tale autorità, ma esige che tale giudice esamini se l’autorità di controllo abbia rispettato i limiti del suo potere discrezionale.

70

Alla luce di tutte le considerazioni che precedono, occorre rispondere alla prima questione dichiarando che l’articolo 78, paragrafo 1, del RGPD deve essere interpretato nel senso che una decisione su reclamo adottata da un’autorità di controllo è soggetta a un sindacato giurisdizionale completo.

71

Con le sue questioni dalla seconda alla quinta, che occorre esaminare congiuntamente, il giudice del rinvio chiede, in sostanza,

72

Ai sensi dell’articolo 5, paragrafo 1, lettera a), del RGPD, i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato.

73

In tale contesto, l’articolo 6, paragrafo 1, primo comma, di tale regolamento prevede un elenco esaustivo e tassativo dei casi in cui un trattamento di dati personali può essere considerato lecito. Pertanto, per poter essere considerato lecito, un trattamento deve rientrare in uno dei casi previsti da tale disposizione [sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social Network), C‑252/21, EU:C:2023:537, punto 90 e giurisprudenza citata].

74

Nel caso di specie, è pacifico che la liceità del trattamento di dati personali di cui trattasi in via principale deve essere valutata alla luce del solo articolo 6, paragrafo 1, primo comma, lettera f), del RGPD. Ai sensi di tale disposizione, il trattamento di dati personali è lecito solo se, e nella misura in cui, tale trattamento sia necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

75

Pertanto, la suddetta disposizione prevede tre condizioni cumulative affinché un trattamento di dati personali sia lecito, vale a dire, in primo luogo, il perseguimento del legittimo interesse da parte del titolare del trattamento o di un terzo, in secondo luogo, la necessità del trattamento dei dati personali per la realizzazione del legittimo interesse perseguito e, in terzo luogo, la condizione che gli interessi o i diritti e le libertà fondamentali dell’interessato dalla tutela dei dati non prevalgano [sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social Network), C‑252/21, EU:C:2023:537, punto 106 e giurisprudenza citata].

76

Per quanto riguarda, in primo luogo, la condizione relativa al perseguimento di un «interesse legittimo», in assenza di definizione di tale nozione da parte del RGPD, occorre sottolineare, come rilevato dall’avvocato generale al paragrafo 61 delle sue conclusioni, che un’ampia gamma di interessi può, in linea di principio, essere considerata legittima.

77

Per quanto riguarda, in secondo luogo, la condizione relativa alla necessità del trattamento dei dati personali per la realizzazione del legittimo interesse perseguito, essa impone al giudice del rinvio di verificare che il legittimo interesse al trattamento dei dati perseguito non possa ragionevolmente essere raggiunto in modo altrettanto efficace mediante altri mezzi meno pregiudizievoli per i diritti fondamentali degli interessati, in particolare per i diritti al rispetto della vita privata e alla protezione dei dati personali garantiti agli articoli 7 e 8 della Carta [sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social Network), C‑252/21, EU:C:2023:537, punto 108 e giurisprudenza citata].

78

In tale contesto, occorre altresì ricordare che la condizione attinente alla necessità del trattamento deve essere esaminata unitamente al principio cosiddetto della «minimizzazione dei dati» sancito all’articolo 5, paragrafo 1, lettera c), del RGPD, secondo il quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» [sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social Network), C‑252/21, EU:C:2023:537, punto 109 e giurisprudenza citata].

79

Per quanto riguarda, in terzo luogo, la condizione secondo cui gli interessi o i diritti e le libertà fondamentali dell’interessato non devono prevalere sul legittimo interesse del responsabile del trattamento o di terzi, la Corte ha già giudicato che ciò implica una ponderazione dei diritti e degli interessi contrapposti che dipende, in linea di principio, dalle circostanze del caso concreto e che, di conseguenza, spetta al giudice del rinvio effettuare tenendo conto di tali circostanze specifiche [sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social Network), C‑252/21, EU:C:2023:537, punto 110 e giurisprudenza citata].

80

Inoltre, come risulta dal considerando 47 del RGPD, gli interessi e i diritti fondamentali dell’interessato possono in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un siffatto trattamento [sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social Network), C‑252/21, EU:C:2023:537, punto 112].

81

Sebbene spetti quindi in ultima istanza al giudice nazionale verificare se, in relazione al trattamento dei dati personali oggetto del procedimento principale, siano soddisfatte le tre condizioni di cui al punto 75 della presente sentenza, la Corte, statuendo su un rinvio pregiudiziale, può fornire delle precisazioni intese a guidare il giudice nazionale in tale determinazione (v., in tal senso, sentenza del 20 ottobre 2022, Digi, C‑77/21, EU:C:2022:805, punto 39 e giurisprudenza citata).

82

Nel caso di specie, per quanto riguarda il perseguimento di un interesse legittimo, la SCHUFA fa valere che le società che forniscono informazioni commerciali trattano i dati necessari alla valutazione del merito creditizio di persone o di imprese, al fine di poter mettere tali informazioni a disposizione delle loro controparti contrattuali. Orbene, oltre al fatto che tale attività proteggerebbe gli interessi economici delle imprese che intendono concludere contratti connessi a un credito, la determinazione del merito creditizio e la fornitura di informazioni sulla solvibilità costituirebbero il fondamento del credito e della capacità di funzionamento dell’economia. L’attività di dette società contribuirebbe altresì a concretizzare le aspettative commerciali dei soggetti coinvolti in operazioni di credito, poiché le informazioni fornite consentirebbero di procedere a un esame rapido e non burocratico di tali operazioni.

83

A tal riguardo, sebbene il trattamento di dati personali come quello di cui trattasi in via principale serva agli interessi economici della SCHUFA, esso serve anche a perseguire l’interesse legittimo dei partner contrattuali della SCHUFA, che intendono concludere contratti connessi ad un credito con persone, a poter valutare il merito creditizio di queste ultime e, quindi, gli interessi del settore creditizio su un piano socioeconomico.

84

Infatti, per quanto riguarda i contratti di credito ai consumatori, dall’articolo 8 della direttiva 2008/48, letto alla luce del considerando 28 di quest’ultima, risulta che, prima di concludere il contratto di credito, il creditore è tenuto a valutare il merito creditizio del consumatore sulla base di informazioni sufficienti, comprese, se del caso, informazioni provenienti da banche dati pubbliche e private.

85

Inoltre, per quanto riguarda i contratti di credito ai consumatori relativi a beni immobili residenziali, dall’articolo 18, paragrafo 1, e dall’articolo 21, paragrafo 1, della direttiva 2014/17, letti alla luce dei considerando 55 e 59 di quest’ultima, risulta che il creditore deve procedere a una valutazione rigorosa del merito creditizio del consumatore e che dispone di un accesso alle banche dati sul credito, dato che la consultazione di siffatte banche dati è un elemento utile ai fini di tale valutazione.

86

Occorre aggiungere che l’obbligo di valutare il merito creditizio dei consumatori, quale previsto dalle direttive 2008/48 e 2014/17, mira non solo a tutelare il richiedente il credito, ma anche, come sottolineato al considerando 26 della direttiva 2008/48, a garantire il buon funzionamento del sistema di credito nel suo complesso.

87

Tuttavia, il trattamento dei dati deve comunque essere necessario per i legittimi interessi perseguiti dal responsabile del trattamento o da un terzo, e gli interessi o i diritti e le libertà fondamentali dell’interessato non devono prevalere su di essi. Nell’ambito di siffatta ponderazione dei contrapposti diritti e interessi in gioco, vale a dire quelli del titolare del trattamento, da un lato, e quelli dell’interessato, dall’altro, si deve segnatamente tener conto, come rilevato al punto 80 della presente sentenza, delle ragionevoli aspettative dell’interessato, nonché della portata del trattamento in questione e dell’impatto di quest’ultimo su tale persona [v. sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social Network), C‑252/21, EU:C:2023:537, punto 116].

88

Per quanto riguarda l’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD, la Corte ha dichiarato che tale disposizione deve essere interpretata nel senso che un trattamento può essere considerato necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, ai sensi di tale disposizione, solo a condizione che sia effettuato entro i limiti di quanto strettamente necessario alla realizzazione di tale legittimo interesse e che dal contemperamento dei contrapposti interessi, alla luce di tutte le circostanze pertinenti, risulti che le libertà e i diritti fondamentali e gli interessi delle persone interessate dal trattamento in questione non prevalgano su detto legittimo interesse del titolare del trattamento o di terzi [v., in tal senso, sentenze del 4 maggio 2017, Rīgas satiksme, C‑13/16, EU:C:2017:336, punto 30, nonché del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social Network), C‑252/21, EU:C:2023:537, punto 126].

89

In tale contesto, il giudice del rinvio fa riferimento a due aspetti del trattamento di dati personali di cui trattasi in via principale. In primo luogo, tale trattamento implicherebbe una conservazione multiforme dei dati, vale a dire non solo in un registro pubblico, ma anche nelle banche dati delle società che forniscono informazioni commerciali, fermo restando che tali società procederebbero a tale conservazione non in occasione di un caso concreto, bensì nell’eventualità in cui le loro controparti contrattuali chiedessero loro siffatte informazioni. In secondo luogo, dette società conserverebbero tali dati per tre anni, e ciò sulla base di un codice di condotta ai sensi dell’articolo 40 del RGPD, mentre la normativa nazionale prevederebbe, per quanto riguarda il registro pubblico, un periodo di conservazione di soli sei mesi.

90

Per quanto riguarda il primo di tali aspetti, la SCHUFA sostiene che sarebbe impossibile fornire informazioni in tempo utile se una società che fornisce informazioni commerciali fosse tenuta ad attendere una richiesta concreta prima di poter iniziare a raccogliere dati.

91

A tal riguardo, spetta al giudice del rinvio verificare se la conservazione dei dati di cui trattasi da parte della SCHUFA nelle proprie banche dati sia limitata allo stretto necessario per quanto riguarda la realizzazione dell’interesse legittimamente perseguito, considerato che i dati di cui trattasi possono essere consultati nel registro pubblico e senza che un’impresa commerciale abbia chiesto informazioni in un caso concreto. Se così non fosse, la conservazione di tali dati da parte della SCHUFA non potrebbe essere considerata necessaria durante il periodo di messa a disposizione del pubblico di detti dati.

92

Per quanto riguarda il periodo di conservazione dei dati, occorre considerare che l’esame delle seconda condizione e l’esame della terza, ricordati al punto 75 della presente sentenza, si confondono in quanto la valutazione della questione se, nel caso di specie, gli interessi legittimi perseguiti dal trattamento di dati personali di cui trattasi in via principale non possano ragionevolmente essere raggiunti con un periodo di conservazione più breve dei dati richiede una ponderazione dei diritti e degli interessi contrapposti in gioco.

93

Per quanto riguarda la ponderazione degli interessi legittimi perseguiti, occorre rilevare che, nei limiti in cui l’analisi fornita da una società che fornisce informazioni commerciali rende possibile la valutazione obiettiva e affidabile del merito creditizio dei potenziali clienti delle controparti contrattuali della società che fornisce tali informazioni commerciali, essa consente di compensare disparità di informazione e quindi di ridurre i rischi di frode nonché altre incertezze.

94

Per quanto riguarda, invece, i diritti e gli interessi dell’interessato, il trattamento di dati relativi alla concessione di un’esdebitazione da parte di una società che fornisce informazioni commerciali, quali la conservazione, l’analisi e la comunicazione di tali dati a terzi, costituisce una grave ingerenza nei diritti fondamentali della persona interessata, sanciti agli articoli 7 e 8 della Carta. Infatti, dati simili costituiscono un fattore negativo per la valutazione del merito creditizio dell’interessato e costituiscono pertanto informazioni sensibili sulla sua vita privata (v., in tal senso, sentenza del 13 maggio 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, punto 98). Il loro trattamento può nuocere considerevolmente agli interessi dell’interessato qualora tale comunicazione sia tale da complicare sensibilmente l’esercizio delle sue libertà, in particolare quando si tratta di soddisfare esigenze di base.

95

Inoltre, come rilevato dalla Commissione, più la conservazione dei dati di cui trattasi da parte di società che forniscono informazioni commerciali è lunga, più le conseguenze sugli interessi e sulla vita privata della persona interessata sono importanti e tanto più elevati sono i requisiti relativi alla liceità della conservazione di tale informazione.

96

Occorre peraltro rilevare che, come risulta dal considerando 76 del regolamento 2015/848, l’obiettivo di un registro pubblico fallimentare è di migliorare la comunicazione di informazioni ai creditori e ai giudici interessati. In tale contesto, l’articolo 79, paragrafo 5, di tale regolamento si limita a prevedere che gli Stati membri informino le persone interessate del periodo durante il quale i dati personali conservati nei registri fallimentari sono accessibili, senza stabilire un termine per la conservazione di detti dati. Per contro, dall’articolo 79, paragrafo 4, di tale regolamento, risulta che gli Stati membri sono responsabili, conformemente a quest’ultimo, della raccolta e della conservazione dei dati personali nelle banche dati nazionali. Il termine di conservazione di tali dati deve quindi essere fissato nel rispetto del citato regolamento.

97

Nel caso di specie, il legislatore tedesco prevede che l’informazione relativa alla concessione di un’esdebitazione sia conservata nel registro fallimentare solo per sei mesi. Esso ha quindi considerato che, decorso un termine di sei mesi, i diritti e gli interessi della persona coinvolta prevalgono su quelli del pubblico a disporre di tale informazione.

98

Inoltre, come rilevato dall’avvocato generale al paragrafo 75 delle sue conclusioni, l’esdebitazione concessa è volta a consentire al beneficiario di partecipare nuovamente alla vita economica e riveste, pertanto, generalmente un’importanza esistenziale per questa persona. Orbene, la realizzazione di tale obiettivo sarebbe compromessa se le società che forniscono informazioni commerciali potessero, al fine di valutare la situazione economica di una persona, conservare dati relativi ad un’esdebitazione e utilizzare siffatti dati dopo che sono stati cancellati dal registro pubblico fallimentare, in quanto tali dati sono sempre utilizzati come un fattore negativo in sede di valutazione del merito creditizio di tale persona.

99

In tali circostanze, gli interessi del settore creditizio a disporre delle informazioni su un’esdebitazione non possono giustificare un trattamento dei dati personali come quello di cui trattasi nei procedimenti principali oltre il termine di conservazione dei dati nel registro pubblico fallimentare, cosicché la conservazione di tali dati da parte di una società che fornisce informazioni commerciali non può essere fondata sull’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD per quanto riguarda il periodo successivo alla cancellazione di detti dati da un registro pubblico fallimentare.

100

Per quanto riguarda il periodo di sei mesi nel corso del quale i dati in questione sono parimenti disponibili in tale registro pubblico, occorre rilevare che, sebbene gli effetti di una conservazione parallela di tali dati nelle banche dati di siffatte società possano essere considerati meno gravi che dopo il decorso dei sei mesi, tale conservazione costituisce nondimeno un’ingerenza nei diritti sanciti agli articoli 7 e 8 della Carta. A tal riguardo, la Corte ha già dichiarato che la presenza degli stessi dati personali in più fonti rafforza l’ingerenza nel diritto della persona alla vita privata (v. sentenza del 13 maggio 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, punti 86 e 87). Spetta al giudice del rinvio ponderare gli interessi in gioco e gli effetti sull’interessato, al fine di stabilire se la conservazione parallela di tali dati da parte di società che forniscono informazioni commerciali possa essere considerata limitata allo stretto necessario, come richiesto dalla giurisprudenza della Corte, citata al punto 88 della presente sentenza.

101

Infine, per quanto riguarda l’esistenza, come nel caso di specie, di un codice di condotta che prevede che una società che fornisce informazioni commerciali debba cancellare i dati relativi a un’esdebitazione alla scadenza di un termine di tre anni, occorre ricordare che, conformemente all’articolo 40, paragrafi 1 e 2, del RGPD, i codici di condotta sono destinati a contribuire alla corretta applicazione di tale regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese. Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare le modalità di applicazione di tale regolamento, quali, in particolare, il trattamento corretto e trasparente, i legittimi interessi perseguiti dai responsabili del trattamento in contesti specifici e la raccolta dei dati personali.

102

Inoltre, in forza dell’articolo 40, paragrafo 5, del RGPD, un progetto di codice è sottoposto all’autorità di controllo competente, che lo approva se ritiene che offra garanzie adeguate sufficienti.

103

Nel caso di specie, il codice di condotta di cui trattasi in via principale è stato elaborato dall’associazione che raggruppa le società tedesche di valutazione del credito ed è stato approvato dall’autorità di controllo competente.

104

Ciò premesso, sebbene, conformemente all’articolo 40, paragrafi 1 e 2, del RGPD, un codice di condotta sia destinato a contribuire alla corretta applicazione di tale regolamento e a precisarne le modalità di applicazione, resta il fatto che, come rilevato dall’avvocato generale ai paragrafi 103 e 104 delle sue conclusioni, le condizioni di liceità di un trattamento di dati personali fissate da un siffatto codice non possono differire dalle condizioni previste all’articolo 6, paragrafo 1, del RGPD.

105

Pertanto, un codice di condotta che sfoci in una valutazione diversa da quella ottenuta in applicazione dell’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD non può essere preso in considerazione nella ponderazione effettuata in forza di tale disposizione.

106

Infine, il giudice del rinvio si interroga, in sostanza, sugli obblighi incombenti a una società che fornisce informazioni commerciali ai sensi dell’articolo 17 del RGPD.

107

A tal riguardo, occorre ricordare che, conformemente all’articolo 17, paragrafo 1, lettera d), del RGPD, al quale fa riferimento il giudice del rinvio, l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione, senza ingiustificato ritardo, dei dati personali che lo riguardano e il titolare del trattamento ha l’obbligo di cancellare tali dati personali senza ingiustificato ritardo, qualora i dati personali siano stati trattati illecitamente.

108

Pertanto, secondo la chiara formulazione di tale disposizione, nell’ipotesi in cui il giudice del rinvio dovesse concludere, al termine della sua valutazione sulla liceità del trattamento di dati personali esaminato in via principale, che tale trattamento non è lecito, spetterebbe al responsabile del trattamento, nella fattispecie la SCHUFA, cancellare i dati interessati quanto prima. Ciò si verificherebbe, conformemente a quanto constatato al punto 99 della presente sentenza, nel caso di un trattamento dei dati personali effettuato oltre il termine di conservazione dei dati di sei mesi nel registro pubblico fallimentare.

109

Per quanto riguarda il trattamento che interviene entro il periodo di sei mesi durante il quale i dati sono disponibili nel registro pubblico fallimentare, nell’ipotesi in cui il giudice del rinvio dovesse concludere che il trattamento era conforme all’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD, troverebbe applicazione l’articolo 17, paragrafo 1, lettera c), di tale regolamento.

110

Tale disposizione prevede il diritto alla cancellazione dei dati personali quando l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, del RGPD e non sussiste alcun «motivo legittimo prevalente per procedere al trattamento». In forza di quest’ultima disposizione, l’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano fondato sull’articolo 6, paragrafo 1, primo comma, lettere e) o f), del RGPD. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi imperativi per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

111

Dal combinato disposto di tali disposizioni risulta, come rilevato dall’avvocato generale al paragrafo 93 delle sue conclusioni, che l’interessato dispone del diritto di opporsi al trattamento e del diritto alla cancellazione, a meno che non sussistano motivi legittimi prevalenti sugli interessi, nonché sui diritti e sulle libertà di questa persona ai sensi dell’articolo 21, paragrafo 1, del RGPD, circostanza che spetta al titolare del trattamento dimostrare.

112

Pertanto, se il titolare del trattamento non giunge a fornire una siffatta prova, l’interessato ha il diritto di chiedere la cancellazione di tali dati sulla base dell’articolo 17, paragrafo 1, lettera c), del RGPD, qualora si opponga al trattamento conformemente all’articolo 21, paragrafo 1, di tale regolamento. Compete al giudice del rinvio esaminare se sussistano, in via eccezionale, motivi legittimi prevalenti in grado di giustificare il trattamento.

113

Alla luce di tutte le considerazioni che precedono, occorre rispondere alle questioni dalla seconda alla quinta dichiarando quanto segue:

114

Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Prima Sezione) dichiara: