Edizione provvisoria
CONCLUSIONI DELL’AVVOCATA GENERALE
LAILA MEDINA
presentate il 30 maggio 2024 (1)
Causa C‑200/23
Agentsia po vpisvaniyata
contro
OL,
con l’intervento di
Varhovna administrativna prokuratura
[domanda di pronuncia pregiudiziale proposta dal Varhoven administrativen sad (Corte suprema amministrativa, Bulgaria)]
«Rinvio pregiudiziale – Protezione dei dati personali – Regolamento (UE) 2016/679 – Pubblicazione, nel registro di commercio, di un contratto di società contenente dati personali – Direttiva (UE) 2017/1132 – Titolare del trattamento – Diritto alla cancellazione dei dati personali»
I. Introduzione
1. Con la sua domanda di pronuncia pregiudiziale, il Varhoven administrativen sad (Corte suprema amministrativa, Bulgaria) pone alla Corte una serie di questioni riguardanti, in sostanza, il rapporto tra le disposizioni in materia di pubblicità degli atti delle società, che sono oggetto di un coordinamento a livello dell’Unione (2), e il regolamento (UE) 2016/679 (3).
2. Tale domanda è stata presentata nell’ambito di una controversia tra, da un lato, l’Agentsia po vpisvaniyata (agenzia del registro, Bulgaria; in prosieguo: l’«agenzia») e, dall’altro, OL in merito al rifiuto da parte di tale agenzia di cancellare alcuni dati personali riguardantii OL figuranti in un atto messo a disposizione del pubblico nel registro di commercio.
II. Contesto normativo
A. Diritto dell’Unione
3. Ai fini delle presenti conclusioni sono rilevanti, in particolare, gli articoli 14 e 16 della direttiva 2017/1132, che ha sostituito la direttiva 2009/101, nonché gli articoli da 4 a 6 e 17 del RGPD. Ai fini di una più agevole lettura, nel contesto della presente analisi si farà riferimento al testo delle disposizioni pertinenti di tali articoli.
B. Diritto bulgaro
4. L’articolo 2 dello Zakon za targovskia registar i registara na yuridicheskite litsa s nestopanska tsel (legge sul registro di commercio e sul registro delle persone giuridiche senza scopo di lucro (4)), nella sua versione applicabile alla controversia nel procedimento principale (in prosieguo: la «legge sui registri»), dispone quanto segue:
«1) Il registro di commercio e il registro delle persone giuridiche senza scopo di lucro [in prosieguo: i “registri”] sono una banca dati elettronica comune contenente le circostanze iscritte per legge, nonché gli atti messi a disposizione del pubblico per legge, che riguardano i commercianti e le filiali di commercianti stranieri, le persone giuridiche senza scopo di lucro e le filiali di persone giuridiche straniere senza scopo di lucro.
2) Le circostanze e gli atti di cui al paragrafo 1 sono messi a disposizione del pubblico, eccettuate le informazioni che costituiscono dati personali ai sensi dell’articolo 4, punto 1, del [RGPD], fatte salve le informazioni che devono essere messe a disposizione del pubblico per legge».
5. Ai sensi dell’articolo 6, paragrafo 1, della legge sui registri, tutti i commercianti e tutte le persone giuridiche senza scopo di lucro sono tenuti a richiedere l’iscrizione nei registri, indicando le circostanze di cui è richiesta l’iscrizione, e presentando gli atti che devono essere messi a disposizione del pubblico.
6. L’articolo 11 di tale legge recita come segue:
«1) [I registri] sono pubblici. Chiunque ha il diritto di accedere liberamente e gratuitamente alla banca dati che costituisce i registri.
2) L’[agenzia] garantisce un accesso registrato al fascicolo del commerciante o della persona giuridica senza scopo di lucro».
7. L’articolo 13, paragrafi 1, 2, 6 e 9, di detta legge dispone quanto segue:
«1) L’iscrizione, la cancellazione e la messa a disposizione del pubblico sono effettuate sulla base di un modulo di domanda.
2) La domanda include:
1. i dati di contatto del richiedente;
(...)
3. la circostanza soggetta ad iscrizione, l’iscrizione di cui si chiede la cancellazione, o l’atto che deve essere messo a disposizione del pubblico;
(…)
6) [L]a domanda è accompagnata dai documenti o, a seconda dei casi, dall’atto che dev’essere messo a disposizione del pubblico, conformemente ai requisiti di legge. I documenti sono presentati in originale, in copia certificata conforme dal richiedente o in copia autenticata notarile. Il richiedente presenta inoltre copie certificate conformi degli atti che devono essere messi a disposizione del pubblico nel registro di commercio, nei quali siano stati occultati i dati personali diversi da quelli richiesti per legge.
(...)
9) Se la domanda o i documenti ad essa allegati riportano dati personali non richiesti per legge, si ritiene che le persone che li hanno forniti abbiano acconsentito al loro trattamento da parte dell’[agenzia] e alla loro messa a disposizione del pubblico».
8. L’articolo 101, punto 3, del Targovski zakon (legge sul commercio (5)), nella sua versione applicabile alla controversia di cui al procedimento principale (in prosieguo: la «legge sul commercio»), dispone che il contratto di società debba contenere «il nome, la denominazione sociale e il codice di identificazione unico dei soci».
9. Ai sensi dell’articolo 119, paragrafo 1, della legge sul commercio, l’iscrizione di una società nel registro di commercio richiede, inter alia, la presentazione del contratto di società che è messo a disposizione del pubblico. Conformemente al paragrafo 4 di tale articolo, «al fine di modificare o di completare il contratto di società iscritto nel registro di commercio, una copia di detto contratto, contenente tutte le modifiche e integrazioni, certificata conforme dall’organo che rappresenta la società, deve essere presentata per la messa a disposizione del pubblico».
III. Procedimento principale e questioni pregiudiziali
10. OL è socia di una «OOD», società a responsabilità limitata di diritto bulgaro, che è stata iscritta nel registro di commercio il 14 gennaio 2021. La domanda di iscrizione era accompagnata dal contratto di società, datato 30 dicembre 2020, firmato dai soci (in prosieguo: il «contratto di società del 2020»). Tale contratto, contenente il cognome e il prenome di OL, il suo numero di identificazione, il numero della sua carta d’identità, la data e il luogo di emissione di quest’ultima e il suo indirizzo permanente, è stato registrato e messo a disposizione del pubblico tal quale era stato presentato. L’8 luglio 2021, OL ha chiesto all’agenzia la cancellazione dei suoi dati personali dal contratto di società del 2020, precisando che, nella misura in cui il trattamento dei suoi dati si basava sul suo consenso, essa lo revocava. In assenza di risposta da parte dell’agenzia, OL ha adito l’Administrativen sad Dobrich (Tribunale amministrativo di Dobrich, Bulgaria), che ha annullato il rifiuto implicito dell’agenzia di accogliere la richiesta di OL e ha rinviato la causa a quest’ultima affinché essa adottasse una nuova decisione. In esecuzione di tale sentenza, e di una sentenza analoga riguardante l’altro socio che aveva proceduto nel medesimo modo, con lettera datata 26 gennaio 2022 l’agenzia ha indicato che affinché la richiesta di cancellazione potesse essere accolta, le doveva essere trasmessa una copia certificata conforme del contratto di società del 2020, in cui i dati personali dei soci, ad eccezione di quelli prescritti per legge, fossero occultati (in prosieguo: la «lettera del 26 gennaio 2022»). Il 31 gennaio 2022, OL ha nuovamente adito l’Administrativen sad Dobrich (Tribunale amministrativo di Dobrich) per ottenere l’annullamento della lettera del 26 gennaio 2022 e la condanna dell’agenzia a risarcirle il danno morale che tale lettera, violando i diritti conferiti dal RGPD, le avrebbe causato. Il 1º febbraio 2022, prima di ricevere la notifica di tale ricorso, l’agenzia ha cancellato d’ufficio il numero di identificazione, i dati relativi alla carta d’identità e l’indirizzo di OL, ma non il suo cognome, il suo prenome e la sua firma. Con sentenza del 5 maggio 2022, l’Administrativen sad Dobrich (Tribunale amministrativo di Dobrich) ha annullato la lettera del 26 gennaio 2022 e ha condannato l’agenzia a risarcire OL per un importo di 500 leva bulgari (BGN) (circa EUR 255), oltre agli interessi legali, a titolo di danno morale, ai sensi dell’articolo 82 del RGPD. Secondo tale sentenza, detto danno consisteva in emozioni ed esperienze negative derivanti da tale lettera, che ha comportato una violazione del diritto alla cancellazione sancito dall’articolo 17, paragrafo 1, del RGPD, nonché un trattamento illecito dei suoi dati contenuti nel contratto messo a disposizione del pubblico. L’agenzia ha impugnato tale sentenza con ricorso per cassazione dinanzi al giudice del rinvio. In particolare, essa sostiene di essere titolare del trattamento ma anche destinataria dei dati trasmessi nell’ambito della procedura di registrazione e di non aver ricevuto alcuna copia del contratto di tale società in cui fossero stati occultati i dati che non dovevano essere messi a disposizione del pubblico, pur avendone fatto domanda prima della registrazione della società di cui OL era socia. Orbene, la registrazione di una società commerciale non potrebbe essere rifiutata per tale solo motivo. Essa fa riferimento a un parere del 2021 dell’autorità nazionale di controllo, la Komisia za zashtita na lichnite danni (Commissione preposta alla protezione dei dati personali, Bulgaria), presentato ai sensi dell’articolo 58, paragrafo 3, lettera b), del RGPD (in prosieguo: il «parere del 2021») (6), in cui si afferma che essa non è autorizzata a modificare il contenuto degli atti che riceve ai fini della loro iscrizione nel registro. Da parte sua, OL sostiene che, in quanto titolare del trattamento, l’agenzia non può far gravare su altri gli obblighi ad essa incombenti in relazione alla cancellazione. Essa richiama una giurisprudenza nazionale secondo cui il parere del 2021 non è conforme alle disposizioni del RGPD.
11. In tali circostanze, il Varhoven administrativen sad (Corte suprema amministrativa, Bulgaria) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se l’articolo 4, paragrafo 2, della direttiva [2009/101] debba essere interpretato nel senso che esso sancisce un obbligo dello Stato membro di consentire la comunicazione di un contratto di società soggetto a registrazione ai sensi dell’articolo 119 [della legge sul commercio], qualora esso, oltre ai nomi dei soci, i quali sono soggetti a pubblicazione obbligatoria ai sensi dell’articolo 2, paragrafo 2, [della legge sui registri], contenga anche ulteriori dati personali. Nel rispondere a tale questione, occorre tenere conto del fatto che l’[agenzia] è un ente del settore pubblico nei confronti del quale, secondo una giurisprudenza costante della Corte, possono essere fatte valere le disposizioni della direttiva munite di effetti diretti (sentenza del 7 settembre 2006, Vassallo, С‑180/04, ECLI:EU:C:2006:518, punto 26 e giurisprudenza citata).
2) In caso di risposta affermativa alla prima questione: se si possa ritenere che nelle circostanze che hanno dato luogo alla controversia di cui al procedimento principale, il trattamento dei dati personali da parte dell’[agenzia] sia necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, ai sensi dell’articolo 6, paragrafo 1, lettera e), del [RGPD].
3) In caso di risposta affermativa alle prime due questioni: se una disposizione nazionale come quella di cui all’articolo 13, paragrafo 9, [della legge sui registri], ai sensi del quale, qualora in una domanda o nei documenti che corredano tale domanda siano indicati dati personali non richiesti dalla legge, si deve considerare che le persone che li hanno messi a disposizione abbiano acconsentito al trattamento di tali dati da parte dell’[agenzia] e alla fornitura di un accesso del pubblico ai medesimi, possa essere considerata ammissibile, nonostante i considerando 32, 40, 42, 43 e 50 del [RGPD], quale chiarimento in relazione alla possibilità di una “pubblicità volontaria” anche di dati personali ai sensi dell’articolo 4, paragrafo 2, della direttiva [2009/101].
4) Se, ai fini dell’attuazione dell’obbligo risultante dall’articolo 3, paragrafo 7, della direttiva [2009/101], ai sensi del quale gli Stati membri devono adottare le misure necessarie per evitare qualsiasi discordanza fra il tenore della pubblicità effettuata a norma del paragrafo 5 e il contenuto del registro o del fascicolo, e per tenere conto degli interessi di terzi di conoscere gli atti essenziali della società e certe indicazioni che la concernono, menzionati al considerando 3 di tale direttiva, siano ammissibili disposizioni nazionali che prevedono una disciplina procedurale (moduli di domanda, presentazione di copie di documenti in cui i dati personali sono stati occultati) per l’esercizio del diritto della persona fisica, ai sensi dell’articolo 17 del [RGPD], di ottenere dal titolare del trattamento la cancellazione dei dati personali che la riguardano senza ingiustificato ritardo, qualora i dati personali dei quali viene chiesta la cancellazione siano parte di documenti oggetto di pubblicità (pubblicati) messi a disposizione del titolare del trattamento in forza di una disciplina procedurale analoga da un’altra persona, la quale, con tale azione, ha determinato anche la finalità del trattamento da essa avviato.
5) Se l’[agenzia] agisca, nella situazione alla base della controversia di cui al procedimento principale, solo in veste di titolare del trattamento in relazione ai dati personali, oppure se essa sia anche il destinatario dei medesimi, qualora le finalità del loro trattamento nell’ambito di documenti presentati a fini di pubblicazione, siano state determinate da un altro titolare del trattamento.
6) Se la firma autografa di una persona fisica costituisca un’informazione che si riferisce ad una persona fisica identificata e rispettivamente sia ricompresa nella nozione di “dati personali” ai sensi dell’articolo 4, punto 1, del [RGPD].
7) Se la nozione di “danno immateriale” ai sensi dell’articolo 82, paragrafo 1, del [RGPD] debba essere interpretata nel senso che il riconoscimento dell’esistenza di un danno immateriale presuppone una conseguenza sfavorevole tangibile e una lesione oggettivamente accertabile degli interessi personali oppure se sia sufficiente a tal fine la mera perdita, limitata nel tempo, del controllo sovrano dell’interessato sui propri dati a causa della pubblicazione di dati personali sul registro di commercio, priva di conseguenze tangibili o svantaggiose per l’interessato.
8) Se il parere [del 2021] rilasciato ai sensi dell’articolo 58, paragrafo 3, lettera b), del [RGPD], dall’autorità nazionale di controllo, la [commissione preposta alla protezione dei dati personali], ai sensi del quale l’[agenzia] non ha la possibilità giuridica né il potere di limitare d’ufficio o su richiesta della persona interessata il trattamento di dati già pubblicati, sia ammissibile come prova ai sensi dell’articolo 82, paragrafo 3, del [RGPD] che l’evento dannoso subito dalla persona fisica non è in alcun modo imputabile all’[agenzia]».
IV. Procedimento dinanzi alla Corte
12. Le parti nel procedimento principale, i governi bulgaro, tedesco, irlandese, italiano, polacco e finlandese nonché la Commissione hanno presentato osservazioni scritte, ai sensi dell’articolo 23 dello statuto della Corte di giustizia dell’Unione europea, sulla totalità o su parte delle questioni pregiudiziali. Le parti nel procedimento principale, i governi bulgaro e irlandese nonché la Commissione sono stati anche sentiti all’udienza del 7 marzo 2024.
A. Analisi
13. Su richiesta della Corte, le presenti conclusioni si concentreranno sulla quarta e sulla quinta questione pregiudiziale, che propongo di trattare congiuntamente. Prima di procedere alla mia analisi, ritengo necessario formulare alcune osservazioni preliminari che riguardano il rinvio pregiudiziale nel suo complesso.
1. Osservazioni preliminari
14. Occorre innanzitutto rilevare – come hanno fatto le parti nel procedimento principale, la Commissione e la maggior parte degli Stati membri che hanno presentato osservazioni dinanzi alla Corte – che la motivazione della decisione di rinvio, nonché la formulazione delle questioni pregiudiziali – tra cui, in particolare, la quarta questione – fanno riferimento alle disposizioni della direttiva 2009/101. Questa è stata tuttavia abrogata e sostituita, a partire dal 20 luglio 2017, dalla direttiva 2017/1132, che è applicabile ratione temporis ai fatti del procedimento principale. Nel prosieguo della mia analisi, farò quindi riferimento solo a quest’ultima direttiva.
15. Occorre inoltre ricordare che la direttiva 2017/1132 e, in particolare, i suoi articoli 16 e 161, per quanto rileva ai fini dell’esame del presente rinvio pregiudiziale, sono stati modificati dalla direttiva (UE) 2019/1151 (7), entrata in vigore il 31 luglio 2019. Orbene, ancorché sia vero, come sottolinea la Commissione, che l’iscrizione nel registro di commercio del contratto di società del 2020 contenente i dati personali di OL è intervenuta prima del 1º agosto 2021, data di scadenza del termine di recepimento della direttiva 2019/1151 (8), una parte dei fatti si è verificata dopo tale data, tra cui l’invio da parte dell’agenzia della lettera del 26 gennaio 2022, la cancellazione d’ufficio da parte di quest’ultima di alcuni di tali dati, nonché la loro nuova messa a disposizione del pubblico nel registro, cui fa riferimento la convenuta nel procedimento principale nelle sue osservazioni scritte. Non è quindi escluso che, nell’ambito della controversia di cui al procedimento principale, sia applicabile ratione temporis la versione della direttiva 2017/1132 come modificata dalla direttiva 2019/1151, questione la cui verifica spetta al giudice nazionale. Tale è il motivo per cui nel prosieguo della mia analisi farò riferimento a tale versione.
16. Preciso, tuttavia, fin d’ora, che le modifiche introdotte dalla direttiva 2019/1151 hanno, in quanto tali, solo un impatto limitato sulla questione delle modalità con cui l’autorità di uno Stato membro responsabile della tenuta del registro delle imprese debba garantire la protezione dei dati personali nell’esercizio delle sue funzioni. Per contro, è importante sottolineare, su un piano più generale, che tale direttiva mira a rinforzare e a consolidare l’uso di strumenti e di processi digitali nella raccolta e nella gestione dei flussi di informazioni riguardanti le società, il che comporta un maggiore accesso ai dati personali da esse detenuti e aumenta il rischio di violazioni del diritto alla protezione di tali dati, nonché la natura lesiva di tali violazioni (9). Orbene, un tale processo di digitalizzazione (10), unito a un’intensificazione dell’accessibilità transfrontaliera a dette informazioni, a sua volta perseguita dal legislatore dell’Unione (11), richiede una particolare attenzione in sede di bilanciamento, da un lato, tra gli obiettivi di certezza del diritto e di tutela dei diritti dei terzi, che sono alla base, come vedremo, delle norme in materia di pubblicità relativa alle società, e, dall’altro, i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali (12).
17. Sempre in via preliminare, osservo che la controversia di cui al procedimento principale verte sulla cancellazione, dal registro di commercio di uno Stato membro, di dati personali la cui messa a disposizione del pubblico non è richiesta né dalla direttiva 2017/1132 né dal diritto dello Stato membro interessato, nonché sulla responsabilità dell’autorità nazionale incaricata della tenuta di tale registro per il danno morale causato dal rifiuto di accogliere immediatamente e incondizionatamente la domanda di cancellazione di tali dati. Per contro, la controversia di cui al procedimento principale non riguarda direttamente la questione relativa a quali siano gli obblighi incombenti a una tale autorità, a titolo di protezione dei dati personali, in sede di iscrizione nel registro di commercio degli atti costitutivi di una società contenenti dati la cui pubblicazione non è obbligatoria. Ciononostante, tale questione rimane sullo sfondo, come risulta dal fatto che molti degli Stati membri intervenienti vi hanno dedicato gran parte delle loro osservazioni, proponendo una riformulazione radicale di alcune o di tutte le prime quattro questioni pregiudiziali. Nel prosieguo della mia analisi, mi occuperò di alcuni aspetti di tale questione, pur rimanendo nei limiti tracciati dall’oggetto del procedimento principale e dalle questioni pregiudiziali su cui si focalizzano le presenti conclusioni.
2. Sulla quarta e sulla quinta questione pregiudiziale
18. Con la sua quarta questione pregiudiziale, la cui ricevibilità è contestata dal governo bulgaro, il giudice del rinvio chiede, in sostanza, se la direttiva 2017/1132 debba essere interpretata nel senso che essa consente di subordinare a specifiche condizioni procedurali il diritto di persone fisiche, nella fattispecie i soci di una società a responsabilità limitata rientrante nell’ambito di applicazione di tale direttiva (13), di ottenere la cancellazione dal registro di commercio di dati personali che le riguardano, che, pur non rientrando tra le informazioni soggette a pubblicità obbligatoria ai sensi del diritto nazionale, figurano nell’atto costitutivo di tale società che è stato messo a disposizione del pubblico nel contesto dell’iscrizione di quest’ultima in tale registro. Con la sua quinta questione pregiudiziale, il giudice del rinvio chiede invece alla Corte di precisare se, con riferimento a siffatti dati, l’autorità incaricata della tenuta del registro di commercio agisca in qualità di «titolare del trattamento» ai sensi dell’articolo 4, punto 7, del RGPD o se sia anche «destinatario» dei dati che tratta, ai sensi dell’articolo 4, punto 9, di tale regolamento, essendo stata la finalità del loro trattamento determinata a monte da un terzo.
19. Come ho precedentemente menzionato, ritengo che tali due questioni debbano essere affrontate congiuntamente. A tal fine, affronterò i vari interrogativi da esse sollevati nell’ordine seguente. Dopo una breve panoramica della portata degli obblighi in materia di pubblicità per le società di cui all’allegato II della direttiva 2017/1132, esaminerò, in primo luogo, la questione di chi sia il titolare del trattamento dei dati personali contenuti in atti soggetti a pubblicità obbligatoria nel contesto dell’iscrizione di una società nel registro di commercio di uno Stato membro qualora, come nel caso di specie, la divulgazione dei dati in questione non sia richiesta né dal diritto armonizzato dell’Unione né dal diritto dello Stato membro interessato. In secondo luogo, tratterò la questione di quale sia, nel caso di specie, la base giuridica del trattamento di siffatti dati. In terzo luogo, mi concentrerò sulla questione se, una volta che detti dati siano stati divulgati a seguito della messa a disposizione del pubblico dell’atto in cui erano contenuti, gli interessati dispongano di un diritto alla cancellazione conformemente all’articolo 17 del RGPD. Infine, in quarto luogo, affronterò la questione se un tale diritto possa essere soggetto a modalità procedurali quali quelle menzionate dal giudice del rinvio.
20. Prima di procedere a tale analisi, è necessario rispondere alle contestazioni sollevate dal governo bulgaro relativamente alla ricevibilità della quarta questione pregiudiziale. Tale governo ritiene che la quarta questione pregiudiziale verta, in sostanza, sulla compatibilità con l’articolo 16, paragrafo 7, della direttiva 2017/1132 – nella sua versione anteriore alle modifiche apportate dalla direttiva 2019/1151 – di una legislazione nazionale che non sarebbe ancora stata adottata. La questione sarebbe quindi di natura ipotetica. A tal proposito, rilevo che il giudice del rinvio è chiamato a pronunciarsi, in ultima istanza, sulla legittimità del rifiuto dell’agenzia di procedere alla cancellazione di alcuni dati personali della convenuta contenuti in un atto messo a disposizione del pubblico a seguito dell’iscrizione di quest’ultima nel registro di commercio, nonché sulle conseguenze di tale diniego. A tal fine, il giudice del rinvio è chiamato, in particolare, a valutare, alla luce delle disposizioni della direttiva 2017/1132 e del RGPD, se un tale diniego possa essere giustificato, inter alia, dal fatto che la copia conforme di tale atto, dalla quale siano stati espunti i dati personali in questione, non sia stata inserita nel fascicolo. La decisione pregiudiziale richiesta è quindi necessaria per consentire al giudice del rinvio di emanare la propria sentenza nella controversia di cui è investito. Inoltre, nonostante la formulazione ambigua della quarta questione pregiudiziale, dalla decisione di rinvio emerge chiaramente che tale questione non mira a ottenere un parere sulla compatibilità con il diritto dell’Unione di una legislazione nazionale non ancora adottata, ma piuttosto a chiedere alla Corte gli elementi di interpretazione di tale diritto necessari al giudice del rinvio per risolvere la controversia su cui è chiamato a pronunciarsi. La quarta questione pregiudiziale è quindi, a mio avviso, ricevibile.
3. Breve panoramica sulla portata degli obblighi in materia di pubblicità degli atti e delle indicazioni relativamente alle società di cui all’allegato II della direttiva 2017/1132
21. L’articolo 14 della direttiva 2017/1132 prevede che, per i tipi di società elencati nell’allegato II di tale direttiva, gli Stati membri pubblichino obbligatoriamente «almeno» gli atti e le indicazioni ivi elencati. Tra gli atti soggetti a pubblicità obbligatoria, l’articolo 14 di detta direttiva menziona, alle lettere da a) a c), «l’atto costitutivo e lo statuto [della società], se quest’ultimo forma oggetto di atto separato», nonché le loro modifiche. Ai sensi dell’articolo 4, lettera i), della medesima direttiva, le informazioni obbligatorie da fornire nello statuto, nell’atto costitutivo o in un documento separato che formi oggetto di pubblicità comprendono le generalità delle persone fisiche o giuridiche o delle società che hanno sottoscritto o in nome delle quali è stato sottoscritto lo statuto o l’atto costitutivo. Tra le indicazioni la cui pubblicità dev’essere garantita, tale articolo 14 menziona, alla lettera d), «la nomina, la cessazione dalle funzioni nonché le generalità delle persone che, in quanto organo previsto per legge o membri di tale organo[,] hanno il potere di obbligare la società di fronte ai terzi e di rappresentarla in giudizio» e/o «partecipano all’amministrazione, alla vigilanza o al controllo della società». Ai sensi dell’articolo 16, paragrafo 2, della direttiva 2017/1132, come modificata dalla direttiva 2019/1151, tutti i documenti e le informazioni soggetti ad obbligo di pubblicità a norma dell’articolo 14 sono inseriti nel fascicolo di cui al paragrafo 1 di tale articolo o trascritti direttamente nel registro, e nel fascicolo risulta l'oggetto delle trascrizioni fatte nel registro (14). Ai sensi dell’articolo 16, paragrafi 3 e 4, di tale direttiva, come modificata dalla direttiva 2019/1151, gli Stati membri provvedono affinché la pubblicità dei documenti e delle informazioni di cui all’articolo 14 della stessa avvenga rendendoli pubblicamente accessibili nel registro. Essi possono inoltre esigere che alcuni o tutti i documenti e le informazioni siano pubblicati in un bollettino nazionale designato allo scopo o mediante mezzi di effetto equivalente. Gli Stati membri adottano tutte le misure necessarie per evitare qualsiasi discordanza fra il contenuto del registro e il contenuto del fascicolo nonché tra ciò che è pubblicato nel registro e ciò che è pubblicato nel bollettino.
22. Riguardo alle suddette prescrizioni della direttiva 2017/1132 si possono fare le seguenti osservazioni.
23. In primo luogo, la direttiva 2017/1132 prevede la pubblicità obbligatoria e l’accessibilità mediante il registro dell’intero atto costitutivo della società, nonché delle sue modifiche (15).
24. In secondo luogo, per quanto riguarda le società di cui all’allegato II, tale direttiva prescrive la pubblicità e l’accessibilità mediante il registro solo per le informazioni relative a determinate categorie di persone, vale a dire, in particolare quelle che hanno il potere di rappresentare la società o che partecipano all’amministrazione, alla vigilanza o al controllo della stessa. Ai sensi dell’articolo 4, lettera i), di detta direttiva, le generalità delle persone fisiche che hanno sottoscritto l’atto costitutivo della società sono parimenti soggette a pubblicità.
25. In terzo luogo, tali informazioni, poiché si riferiscono a persone fisiche identificate o identificabili, costituiscono «dati personali» ai sensi dell’articolo 4, punto 1, del RGPD (16).
26. In quarto luogo, le suddette disposizioni della direttiva 2017/1132 contengono solo requisiti minimi in materia di pubblicità degli atti e delle informazioni riguardanti le società. Spetta quindi agli Stati membri stabilire, in particolare, quali categorie di informazioni relative alle generalità delle persone di cui all’articolo 4, lettera i), e all’articolo 14, lettera d), di tale direttiva siano soggette a pubblicità obbligatoria. Gli Stati membri sono, inoltre, liberi di assoggettare a una tale pubblicità altri atti o altre indicazioni, eventualmente riguardanti altre categorie di persone. Va da sé che, nell’esercitare tale libertà, essi sono tenuti a rispettare tutte le disposizioni del diritto dell’Unione e, in particolare, i principi sanciti dall’articolo 8 e dall’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta») e le disposizioni del RGPD.
4. Sul titolare del trattamento
27. L’articolo 4, punto 7, del RGPD definisce in modo ampio la nozione di «titolare del trattamento» inteso come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, «determina le finalità e i mezzi del trattamento» di dati personali. L’obiettivo di tale ampia definizione è, conformemente a quello di tale regolamento, quello di assicurare un’efficace protezione dei diritti e delle libertà fondamentali delle persone fisiche, nonché, segnatamente, garantire un elevato livello di protezione del diritto di qualsiasi persona alla tutela dei dati personali che la riguardano (17). Anche la nozione di «trattamento» è oggetto di un’ampia definizione (18). Ai sensi dell’articolo 4, punto 2, del RGPD, per «trattamento» si intende «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione».
28. Dalla sentenza Manni risulta che, nel trascrivere e conservare nel registro di commercio le informazioni riguardanti le generalità delle persone menzionate all’articolo 14, lettera d), della direttiva 2017/1132, e nel comunicarle, l’autorità incaricata della tenuta di tale registro effettua un «trattamento di dati personali», del quale è «titolare», ai sensi delle definizioni contenute all’articolo 4, punti 2 e 7, del RGPD. Lo stesso vale, manifestamente, quando la trascrizione in tale registro, la conservazione e la comunicazione hanno per oggetto dati personali diversi da quelli espressamente menzionati da tale direttiva, nel caso in cui la pubblicità di tali dati sia richiesta dal diritto di uno Stato membro.
29. Tuttavia, nella presente causa, la questione che si pone è se una tale autorità, nella fattispecie l’agenzia, sia responsabile della messa a disposizione del pubblico di dati personali la cui pubblicità non sia richiesta né dalla direttiva 2017/1132 né dal diritto dello Stato membro interessato, nel caso di specie il diritto bulgaro, ma che sono contenuti in un atto la cui trascrizione e divulgazione sono obbligatorie.
30. A mio avviso, a tale questione dev’essere data una risposta affermativa.
31. La messa a disposizione del pubblico nel registro di commercio dei dati personali di OL è infatti avvenuta nell’esercizio dei poteri conferiti all’agenzia in quanto autorità incaricata della tenuta del registro. Come è stato precedentemente menzionato, la legislazione bulgara prevede che la domanda di iscrizione di una società in detto registro sia accompagnata dall’originale o da una copia certificata conforme degli atti soggetti a pubblicità, tra cui figura il contratto di società, che l’agenzia è tenuta a mettere a disposizione del pubblico. Le finalità e i mezzi del trattamento dei dati personali effettuato dall’agenzia nell’adempimento del suo compito sono anche stabiliti dal diritto bulgaro nonché dal diritto dell’Unione che, come abbiamo visto, ha proceduto a un ravvicinamento delle legislazioni degli Stati membri in materia di pubblicità delle società. In quanto autorità incaricata del trattamento dei dati personali contenuti negli atti trascritti nel registro di commercio conformemente alle finalità e ai mezzi indicati dalla normativa bulgara e da quella dell’Unione, l’agenzia deve quindi essere considerata come «titolare del trattamento» ai sensi dell’articolo 4, punto 7, del RGPD. Rilevo che la Corte è recentemente giunta a una conclusione analoga, relativamente all’organismo nazionale incaricato per legge della tenuta della Gazzetta ufficiale di uno Stato membro, nella sentenza dell’11 gennaio 2024, État belge (Dati trattati da una Gazzetta ufficiale) (19).
32. Tale conclusione non è messa in discussione dalla circostanza che, nel caso di specie, i dati contenuti nel contratto di società del 2020 non rientrano tra quelli che devono essere messi a disposizione del pubblico ai sensi del diritto bulgaro. Da un lato, il fatto che una tale circostanza non incida sull’identificazione del titolare del trattamento è stato implicitamente riconosciuto dalla Corte nella sentenza État belge. Infatti, nella causa che ha dato luogo a tale sentenza, così come in quella all’origine del presente rinvio pregiudiziale, la controversia riguardava dati la cui messa a disposizione del pubblico non era richiesta dalla legge dello Stato membro interessato. Dall’altro lato, l’articolo 13, paragrafo 9, della legge sui registri prevede esplicitamente che, nel caso in cui il richiedente non presenti una copia conforme dell’atto soggetto a pubblicità dalla quale siano stati espunti i dati personali non richiesti, l’agenzia proceda al loro trattamento e alla loro messa a disposizione del pubblico sulla base di un presunto consenso implicito. Pertanto, anche in analoghe circostanze, la legislazione bulgara designa esplicitamente l’agenzia come titolare del trattamento.
33. In tali circostanze, non posso condividere la tesi avanzata dall’agenzia nelle sue osservazioni scritte, secondo la quale, se il richiedente non procede all’occultamento delle informazioni non richieste per legge contenute negli atti che trasmette ai fini dell’iscrizione nel registro, diventa esso stesso titolare del trattamento consistente nella pubblicazione online in tale registro. Infatti – indipendentemente dalla questione se un consenso alla pubblicazione di tali informazioni possa essere validamente dato invocando la presunzione prevista dall’articolo 13, paragrafo 9, della legge sui registri – l’esistenza di un tale consenso non può incidere sulla determinazione del titolare del trattamento, ma solo sulla liceità dello stesso.
34. Parimenti, è irrilevante la circostanza, anch’essa evidenziata dall’agenzia, che i documenti presentati nell’ambito di una domanda d’iscrizione nel registro di commercio non siano dati strutturati o leggibili a macchina, contrariamente ai campi numerici di tale registro, che sono compilati dall’agente che procede all’iscrizione e che corrispondono alla definizione giuridica di «registro» nel diritto bulgaro. Infatti, l’agenzia è l’autorità incaricata dalla legge bulgara della tenuta del registro di commercio ed è quindi responsabile di qualsiasi trattamento dei dati personali in esso pubblicati, indipendentemente dalla circostanza che tali dati siano contenuti in un documento a corredo della domanda o che siano inseriti da un funzionario dell’agenzia. Pertanto, anche qualora non proceda essa stessa a una trasformazione digitale dei documenti che riceve, essa è comunque responsabile della divulgazione di tali documenti, e dei dati in essi contenuti, per mezzo del registro. Più in generale, nell’ambito del suo compito di interesse pubblico, essa raccoglie, registra, conserva, organizza e ordina l’insieme dei dati, degli atti e dei documenti da essa ricevuti in una banca dati strutturata, che è riconosciuta come fonte affidabile e autentica di informazioni.
35. Infine, la qualificazione dell’agenzia come «titolare del trattamento» ai sensi dell’articolo 4, punto 7, del RGPD non è messa in discussione dal fatto che essa non controlli, prima di metterli online, i dati personali contenuti nelle immagini elettroniche o gli originali cartacei dei documenti trasmessi ai fini della registrazione, né dal fatto che essa non possa modificare o rettificare tali dati. Al riguardo, ricordo che la Corte ha già avuto l’occasione di respingere un’argomentazione di analogo tenore nella sentenza État belge, relativamente alla pubblicazione, nella Gazzetta ufficiale di uno Stato membro, di atti e documenti redatti da terzi, poi depositati presso un’autorità giudiziaria e trasmessi all’organismo responsabile di tale Gazzetta ai fini della loro divulgazione. Al punto 38 di tale sentenza, la Corte ha, da un lato, osservato che la pubblicazione di tali atti e documenti senza possibilità di controllo o di modifica del loro contenuto era intrinsecamente legata al ruolo di una Gazzetta ufficiale, che si limita ad informare il pubblico circa la loro esistenza, conformemente al diritto nazionale applicabile, in modo da renderli opponibili a terzi. Dall’altro lato, essa ha precisato che sarebbe contrario all’obiettivo dell’articolo 4, punto 7, del RGPD, che consiste nell’assicurare una tutela efficace e completa delle persone fisiche per quanto riguarda il trattamento dei loro dati personali, escludere dalla nozione di «titolare del trattamento» la Gazzetta ufficiale di uno Stato membro per il motivo che quest’ultimo non esercita un controllo su dati di tale tipo. Considerazioni analoghe si applicano, mutatis mutandis, alla pubblicazione di atti e documenti effettuata nei registri delle imprese degli Stati membri. Infatti, come nel caso del Moniteur belge, nella sentenza summenzionata, se è vero che l’agenzia deve pubblicare l’atto in questione tal quale, essa è l’unica ad assumere tale compito e a procedere alla sua diffusione (20).
36. A questo punto si pone la questione se l’agenzia debba essere considerata come l’unica responsabile del trattamento dei dati controversi, e, quindi, del rispetto dei principi di cui all’articolo 5, paragrafo 1, del RGPD, oppure se essa condivida tale responsabilità con il richiedente, che agisce per conto della società, non avendo quest’ultimo proceduto all’invio all’agenzia di una copia del contratto di società del 2020 dalla quale siano stati espunti detti datti.
37. Al riguardo, ricordo, innanzitutto, che l’articolo 26, paragrafo 1, del RGPD prevede che due o più persone possano assumere la responsabilità congiunta del trattamento e che i loro rispettivi obblighi possano essere determinati di comune accordo o possano essere stabiliti dal diritto dell’Unione o dal diritto dello Stato cui sono soggette (21). A tal proposito, la Corte ha precisato che la qualificazione di «contitolari del trattamento» deriva dal fatto che molteplici enti hanno partecipato alla determinazione delle finalità e dei mezzi del trattamento (22). In assenza di una tale partecipazione è, invece, esclusa una contitolarità del trattamento e i vari soggetti devono essere considerati come titolari del trattamento indipendenti che agiscono in momenti successivi. Come indicato dal GEPD, lo scambio degli stessi dati o insiemi di dati tra due soggetti in assenza di finalità o mezzi di trattamento determinati congiuntamente dovrebbe essere considerato una trasmissione di dati tra titolari del trattamento distinti (23).
38. Pertanto, il semplice fatto che l’agenzia sia al contempo «titolare del trattamento» ai sensi dell’articolo 4, punto 7, del RGPD e «destinatario» ai sensi del punto 9 di tale articolo, in quanto riceve una comunicazione dei dati personali contenuti negli atti e nei documenti che accompagnano la domanda di iscrizione nel registro di commercio, non consente di escludere che essa sia l’unica responsabile della messa a disposizione del pubblico di tali dati. Infatti, una tale messa a disposizione del pubblico, così come la trasformazione digitale, ove avvenga, dei dati contenuti negli atti ad essa sottoposti, nonché la loro conservazione, costituiscono un trattamento distinto e ulteriore rispetto alla trasmissione dei dati effettuata, ai fini della registrazione della società, dal richiedente. Orbene, l’agenzia procede in autonomia all’insieme di tali trattamenti, nell’ambito del compito di ordine pubblico di cui è incaricata e in conformità con le finalità e i mezzi stabiliti dalla legislazione bulgara (24).
39. Invero, da un lato, la Corte ha precisato, nella sentenza État belge (25), che è sufficiente che una persona influisca, per fini che le sono propri, sul trattamento dei dati personali e partecipi, pertanto, alla determinazione delle finalità e dei mezzi di tale trattamento per poter essere ritenuta contitolare del trattamento (26). Tuttavia, nel caso di specie, dal fascicolo di cui dispone la Corte emerge che le finalità e i mezzi del trattamento dei dati contenuti nei documenti da mettere a disposizione del pubblico mediante il registro di commercio sono determinati esclusivamente per legge. I soggetti che, per conto della società, inseriscono nella banca dati di tale registro i documenti e le informazioni la cui pubblicità è richiesta per legge (27) non esercitano alcuna influenza su tale determinazione e, pertanto, non possono essere ritenuti titolari – non più di quanto la società stessa – degli ulteriori trattamenti dei dati da essi comunicati all’agenzia, compresa la divulgazione di tali dati attraverso la banca dati elettronica del registro. Inoltre, trasmettendo all’agenzia gli atti soggetti a pubblicità e trattando i dati in essi contenuti, tali soggetti perseguono finalità ad essi proprie, ossia l’adempimento delle formalità necessarie per la registrazione della società, che differiscono dalle finalità pubbliche assegnate al registro e perseguite dall’agenzia quando assicura la messa a disposizione del pubblico di tali atti (28).
40. Dall’altro lato, nella sentenza État belge, la Corte ha riconosciuto che, nell’ambito di una catena di trattamenti effettuati da diverse persone o entità e vertenti sugli stessi dati personali, il diritto nazionale può determinare le finalità e i mezzi dell’insieme dei trattamenti effettuati in successione da tali diverse persone o entità in modo che queste ultime siano considerate congiuntamente titolari del trattamento (29). Pertanto, in virtù del combinato disposto dell’articolo 26, paragrafo 1, e dell’articolo 4, punto 7, del RGPD, la contitolarità di diversi soggetti in una catena di trattamenti vertenti sui medesimi dati personali può essere stabilita dal diritto nazionale, purché le varie operazioni di trattamento siano accomunate da finalità e da mezzi determinati da tale diritto e che quest’ultimo definisca, in modo diretto o indiretto, le rispettive responsabilità di ciascuno dei contitolari del trattamento (30). Orbene, a mio avviso, questo non è il caso dell’articolo 13, paragrafi 6 e 9, della legge sui registri, che si limita a definire le condizioni in presenza delle quali, secondo la legge bulgara, un consenso alla pubblicazione nel registro di commercio di dati personali non soggetti a pubblicità è stato validamente dato dall’interessato. Infatti, tale disposizione non è intesa a stabilire una contitolarità del richiedente per l’ulteriore trattamento di tali dati, ma piuttosto a precisare il fondamento della liceità del trattamento effettuato dall’agenzia. Inoltre, come ho già sottolineato, le finalità private perseguite dalla società differiscono dalle finalità pubbliche perseguite dall’agenzia, cosicché ritengo che non siano soddisfatte le condizioni richieste dalla sentenza État belge affinché la loro contitolarità, in quanto soggetti in una «catena di trattamenti vertenti sui medesimi dati personali», possa essere considerata come stabilita dal diritto bulgaro.
41. Sulla base di tutte le precedenti considerazioni, ritengo che l’articolo 4, punto 7, e l’articolo 26, paragrafo 1, del RGPD debbano essere interpretati nel senso che l’autorità incaricata della tenuta del registro di commercio di uno Stato membro, la quale, ai sensi della legislazione di tale Stato, deve assicurare la pubblicità degli atti ad essa trasmessi nell’ambito di una domanda di iscrizione di una società in tale registro, è l’unica responsabile della messa a disposizione del pubblico dei dati personali contenuti in tali atti, anche nel caso in cui si tratti di dati la cui pubblicità non è richiesta, e che, in conformità con tale legislazione, avrebbero dovuto essere da essi espunti prima della loro trasmissione a detta autorità.
5. Sul fondamento della liceità del trattamento
42. Ogni trattamento di dati personali deve essere conforme ai principi relativi al trattamento dei dati enunciati all’articolo 5, paragrafo 1, del RGPD e soddisfare le condizioni elencate all’articolo 6 di detto regolamento (31), che prevede un elenco esaustivo e tassativo dei casi in cui un tale trattamento può essere considerato lecito (32). Ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera a), del RGPD, il trattamento di dati personali è lecito se, e nella misura in cui, l’interessato vi ha acconsentito per una o più finalità specifiche. In mancanza di un siffatto consenso, o qualora tale consenso non sia stato espresso in modo libero, specifico, informato e inequivocabile, mediante dichiarazione o azione positiva inequivocabile, ai sensi dell’articolo 4, punto 11, del RGPD, un trattamento di questo tipo è nondimeno giustificato qualora soddisfi uno dei requisiti di necessità menzionati all’articolo 6, paragrafo 1, primo comma, lettere da b) ad f), di detto regolamento, che devono essere interpretati restrittivamente (33).
43. Nel caso di specie, è evidente che la presunzione di consenso stabilita dall’articolo 13, paragrafo 9, della legge sui registri non soddisfi le condizioni richieste dall’articolo 6, paragrafo 1, primo comma, lettera a), del RGPD, letto in combinato disposto con l’articolo 4, punto 11, di tale regolamento (34). È pertanto necessario verificare se un trattamento di dati come quello di cui trattasi nel procedimento principale risponda a una delle altre giustificazioni enunciate all’articolo 6, paragrafo 1, primo comma, di detto regolamento.
44. Dalla sentenza Manni risulta che il trattamento dei dati personali effettuato dall’autorità incaricata della tenuta del registro in attuazione degli atti dell’Unione che coordinano le disposizioni nazionali in materia di pubblicità degli atti delle società risponde, in particolare, alle condizioni di liceità previste dall’articolo 6, paragrafo 1, primo comma, lettere c) ed e), del RGPD, relative, la prima, all’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento e, la seconda, all’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. È dunque in riferimento a tali due motivi che effettuerò la mia analisi.
45. Per quanto riguarda, in primo luogo, il motivo previsto dall’articolo 6, paragrafo 1, primo comma, lettera c), del RGPD, occorre innanzitutto esaminare se la messa a disposizione del pubblico nel registro di commercio dei dati personali di cui trattasi nel procedimento principale, che non rientrano tra le informazioni soggette a pubblicità ai sensi della direttiva 2017/1132 o del diritto bulgaro, fosse giustificata dall’esigenza di assicurare la pubblicità degli atti di cui all’articolo 14 di tale direttiva e fosse, pertanto, necessaria per adempiere a un obbligo legale derivante dal diritto dell’Unione.
46. Ai sensi dell’articolo 16, paragrafo 3, di tale direttiva, gli Stati membri provvedono affinché tali documenti siano resi pubblicamente accessibili al pubblico nel registro di cui al paragrafo 1, primo comma, di tale articolo. I governi tedesco, irlandese e polacco ritengono sostanzialmente che, in virtù di detto articolo, letto in combinato disposto con il citato articolo 14, le autorità incaricate della tenuta del registro debbano pubblicare detti documenti tal quali li ricevono. Esse sarebbero pertanto obbligate a trattare tutti i dati personali ivi contenuti, compresi quelli non richiesti ai sensi del diritto dell’Unione o del diritto nazionale applicabile.
47. Non condivido tale interpretazione. La direttiva 2017/1132 prevede infatti che alcuni atti essenziali delle società siano obbligatoriamente soggetti a pubblicità e che ciò avvenga mediante il registro, ma essa non impone il trattamento sistematico di ogni dato personale contenuto in detti atti, anche qualora tale trattamento dovesse risultare contrario alle disposizioni del RGPD. Al contrario, come ho già ricordato, l’articolo 161 di tale direttiva, come modificata dalla direttiva 2019/1151, prevede che il trattamento dei dati personali effettuato nel quadro della stessa sia disciplinato da detto regolamento. Spetta quindi agli Stati membri trovare il giusto equilibrio tra gli obiettivi di certezza del diritto e di tutela degli interessi dei terzi, che, come vedremo tra poco, sono alla base delle norme in materia di pubblicità degli atti delle società, e il diritto fondamentale al rispetto dei dati personali.
48. Occorre poi verificare se la pubblicazione nel registro di commercio dei dati di cui trattasi nel procedimento principale fosse necessaria per adempiere a un obbligo legale previsto dal diritto bulgaro. A tal proposito, ricordo che l’articolo 2, paragrafo 2, della legge sui registri prevede che gli atti che devono figurare nel registro di commercio «sono messi a disposizione del pubblico, eccettuate le informazioni che costituiscono dati personali ai sensi dell’articolo 4, punto 1, del [RGPD], fatte salve le informazioni che devono essere messe a disposizione del pubblico per legge». La liceità del trattamento dei dati di cui trattasi nel procedimento principale non sembra quindi potersi fondare su un «obbligo legale» ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera c), del RGPD, al quale l’agenzia sarebbe stata soggetta in base al diritto bulgaro, come sembra peraltro confermato dalla presunzione di consenso introdotta dall’articolo 13, paragrafo 9, della legge sui registri. Spetta tuttavia al giudice del rinvio, l’unico competente a interpretare il diritto nazionale, pronunciarsi su tale punto. In questa sede mi limito a precisare che il semplice fatto, invocato dall’agenzia, che, in mancanza di una copia in cui siano occultati i dati personali non richiesti dalla legge, essa debba procedere alla pubblicazione dell’atto tal quale le è stato trasmesso, non è sufficiente, a mio avviso, a configurare un «obbligo legale» ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera c), del RGPD, dato che una tale pubblicazione è esclusa a priori dalla legge e che essa viene effettuata dall’agenzia solo sulla base di un consenso presunto (35). Al riguardo, è importante sottolineare che spetta al titolare del trattamento garantire il carattere «lecito» del trattamento dei dati da esso effettuato alla luce delle condizioni enunciate all’articolo 6, paragrafo 1, primo comma, lettere da a) a f), di tale regolamento (36).
49. Per quanto riguarda, in secondo luogo, il motivo di cui all’articolo 6, paragrafo 1, primo comma, lettera e), del RGPD, cui fanno riferimento sia il giudice del rinvio sia la maggior parte degli Stati membri che hanno presentato osservazioni nel presente procedimento, ricordo che la Corte ha già avuto l’occasione di statuire che un’attività pubblica che consiste nel salvare, in una banca dati, dati che le società devono comunicare in base ad obblighi di legge, nel consentire ai soggetti interessati di consultare tali dati e nel fornirne loro copia, rientra nell’esercizio di pubblici poteri (37) e costituisce un compito di interesse pubblico, ai sensi di tale disposizione (38). Come ha affermato l’avvocato generale Bot nelle sue conclusioni nella causa che ha dato origine alla sentenza Manni, l’iscrizione e la pubblicazione nei registri del commercio e delle imprese delle informazioni essenziali relative alle società mirano a creare una fonte di informazione attendibile e ad assicurare in tal modo la certezza del diritto necessaria alla tutela degli interessi dei terzi, e segnatamente degli interessi dei creditori, la lealtà delle transazioni commerciali e, pertanto, il buon funzionamento del mercato (39). Inoltre, come è stato sottolineato dalla Corte, la conservazione in tali registri di tutti i dati pertinenti e la loro accessibilità da parte di terzi contribuiscono a promuovere gli scambi tra gli Stati membri, anche nella prospettiva di sviluppare il mercato interno (40).
50. Nel caso di specie, si pone la questione se tali obiettivi e il motivo di liceità previsto dall’articolo 6, paragrafo 1, primo comma, lettera e), del RGPD possano essere invocati in relazione alla messa a disposizione del pubblico, da parte dell’agenzia, dei dati personali di cui trattasi nel procedimento principale, che non rientrano tra quelli che, ai sensi del diritto dell’Unione o del diritto bulgaro, sono soggetti a pubblicità obbligatoria.
51. Al riguardo, ricordo che l’articolo 6, paragrafo 3, del RGPD, in combinato disposto con il considerando 45 di quest’ultimo, precisa, in particolare per quanto riguarda l’ipotesi di liceità di cui al paragrafo 1, primo comma, lettera e), di tale articolo, che il trattamento deve basarsi sul diritto dell’Unione o sul diritto dello Stato membro cui è soggetto il titolare del trattamento e che tale base giuridica deve perseguire un obiettivo di interesse pubblico ed essere proporzionato all’obiettivo legittimo perseguito (41). Orbene, nessuno di tali requisiti – che la Corte ha precisato essere espressione di quelli derivanti dall’articolo 52, paragrafo 1, della Carta (42) – sembra essere soddisfatto nel contesto della presente causa, che riguarda un trattamento di dati personali che, sebbene effettuato in occasione dell’esercizio di un compito di interesse pubblico ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera e), del RGPD, non è considerato a priori necessario all’esecuzione di tale compito ai sensi della legislazione nazionale applicabile, né al perseguimento delle finalità assegnate al registro di commercio, e che è autorizzato solo sulla base di un consenso presunto dell’interessato.
52. Più in generale, occorre sottolineare che la pubblicazione di dati personali non richiesta dal diritto dell’Unione o dal diritto dello Stato membro interessato non risponde a nessuno degli obiettivi enunciati al paragrafo 49 delle presenti conclusioni (43), che sono i soli a giustificare l’ingerenza nei diritti degli interessati al rispetto della vita privata e alla protezione dei dati personali garantiti dagli articoli 7 e 8 della Carta (44). Inoltre, come ha sottolineato la Corte nella sentenza Manni, è in particolare in ragione del fatto che, in linea di principio, la pubblicità è prevista solo per un numero limitato di dati personali – ossia quelli relativi all’identità e alle rispettive funzioni delle persone che hanno il potere di obbligare la società e che sono quindi necessari per tutelare gli interessi dei terzi – che una tale ingerenza non è considerata come sproporzionata (45).
53. Il governo bulgaro e l’agenzia sostengono, in sostanza, che il trattamento di cui trattasi del procedimento principale trova il suo fondamento, nel diritto bulgaro, nell’esigenza di garantire la pubblicità degli atti essenziali delle società, di preservarne l’integrità e affidabilità e di non ostacolare l’esercizio da parte dell’agenzia del suo compito di interesse pubblico. Supponendo che il giudice del rinvio giunga alla stessa conclusione, esso sarebbe anche tenuto ad accertare il rispetto del principio di proporzionalità. In virtù di tale principio, limitazioni al diritto fondamentale al rispetto dei dati personali devono operare nei limiti dello stretto necessario (46), il che non avviene allorché l’obiettivo di interesse generale perseguito può ragionevolmente essere conseguito in modo altrettanto efficace con altri mezzi, meno lesivi di tale diritto (47). Va inoltre ricordato che l’articolo 5, paragrafo 1, lettera c), del RGPD prevede che i dati personali devono essere adeguati, pertinenti e non eccessivi rispetto alle finalità per le quali sono trattati e richiede il rispetto, da parte degli Stati membri, del principio di «minimizzazione dei dati», che dà espressione al principio di proporzionalità (48).
54. Orbene, mi sembra che l’obiettivo di garantire la pubblicità degli atti essenziali delle società possa essere ragionevolmente raggiunto introducendo procedure che consentano di occultare, prima della loro pubblicazione, i dati personali di cui non è richiesta la messa a disposizione del pubblico. Tali procedure possono includere, in particolare, l’obbligo, per l’agenzia, di sospendere la registrazione della società al fine di consentire la modifica degli atti contenenti dati di tal tipo o di procedere, se del caso d’ufficio, alla cancellazione di questi ultimi.
55. Gli argomenti dedotti da molti degli Stati membri che hanno presentato osservazioni nel presente procedimento, secondo i quali l’introduzione di siffatte procedure rischierebbe di ritardare il trattamento delle domande di iscrizione nel registro delle imprese, a scapito, in particolare, degli interessi dei soci, o di imporre alle autorità nazionali compiti eccessivamente onerosi, non mi sembrano accoglibili. Infatti, da un lato, tali procedure sono necessarie al fine di conciliare gli interessi perseguiti dalla pubblicità degli atti delle società con il diritto fondamentale al rispetto dei dati personali, in particolare allorché, come ho sottolineato al paragrafo 16 delle presenti conclusioni, i dati personali in questione sono destinati a essere messi a disposizione del pubblico senza restrizioni in un ambiente digitalizzato. Dall’altro lato, esse potrebbero avvalersi di strumenti di ricerca e di identificazione dei dati che consentano di facilitare il compito di tali autorità ed essere concepite in modo tale da porre, in un primo tempo, a carico dei richiedenti il compito di occultare i dati personali che non devono essere divulgati, come prevede del resto la legge bulgara.
56. Quanto all’esigenza di preservare l’integrità e l’affidabilità degli atti delle società soggetti a pubblicità obbligatoria trasmessi ai fini dell’iscrizione nel registro delle imprese – menzionata anche dal governo bulgaro e dall’agenzia, nonché dalla maggior parte degli Stati membri che hanno presentato osservazioni nel presente procedimento – che imporrebbe la pubblicazione di tali atti tal quali sono stati trasmessi alle autorità incaricate della tenuta del registro, essa non può, a mio avviso, prevalere sistematicamente sul diritto fondamentale alla protezione dei dati personali, salvo rendere tale protezione puramente illusoria.
57. Tendo infatti a pensare che tale esigenza possa tuttalpiù giustificare solo la conservazione dei dati personali non soggetti a pubblicità obbligatoria contenuti in siffatti atti, ma non la loro pubblicazione, senza limitazione o restrizione alcuna, nella banca dati del registro aperta al pubblico. Più precisamente, ritengo che la messa a disposizione del pubblico della copia di tali atti, da cui siano stati espunti i dati personali non richiesti, e la conservazione dell’originale nel fascicolo, permetterebbero di raggiungere un giusto equilibrio tra tale esigenza e la protezione dei dati degli interessati. L’eventuale accesso all’originale dell’atto e all’insieme dei dati che esso contiene sarebbe allora consentito solo caso per caso, in presenza di un interesse legittimo che lo giustifichi – compreso quello della verifica dell’autenticità dell’atto – e nel rispetto delle disposizioni del RGPD.
58. A tal proposito, contrariamente a quanto sostenuto, in particolare, dal governo irlandese, sono del parere che l’articolo 16 bis della direttiva 2017/1132, come modificata dalla direttiva 2019/1151, nella misura in cui prevede che «[g]li Stati membri assicurano che copie di tutti i documenti (…) di cui all’articolo 14 o di parti di essi possano essere ottenute dal registro», non implichi che gli Stati membri siano obbligati a permettere un accesso illimitato a tali documenti nella loro integralità. D’altra parte, come ho già osservato, l’articolo 161 della direttiva 2017/1132, come modificata dalla direttiva 2019/1151, impone agli Stati membri di introdurre procedure che consentano di garantire che, nell’esercizio del compito di interesse pubblico ad essi affidato, le autorità incaricate della tenuta del registro delle imprese rispettino tutte le disposizioni del RGPD.
59. Sulla base di tutte le considerazioni che precedono, ritengo che il trattamento dei dati di cui trattasi nel procedimento principale non possa essere considerato come basato sul consenso della convenuta nel procedimento principale, ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera a), del RGPD, letto in combinato disposto con l’articolo 4, punto 11, di tale regolamento. Fatte salve le verifiche da effettuare da parte del giudice del rinvio, tale trattamento non sembra soddisfare né le condizioni di liceità previste dall’articolo 6, paragrafo 1, primo comma, lettera c), del RGPD, né quelle enunciate alla lettera e) di tale articolo, letto in combinato disposto con l’articolo 6, paragrafo 3, di tale regolamento. Per completezza, aggiungerò che detto trattamento non può neanche rientrare nell’ambito di applicazione dell’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD, relativo ai trattamenti di dati personali necessari per il perseguimento del legittimo interesse del titolare del trattamento. Infatti, come è stato precisato dalla Corte, dalla formulazione dell’articolo 6, paragrafo 1, secondo comma, dell’RGPD emerge chiaramente che un trattamento di dati personali effettuato da un’autorità pubblica nell’ambito dell’esecuzione dei suoi compiti non può rientrare nell’ambito di applicazione dell’articolo 6, paragrafo 1, primo comma, lettera f), dell’RGPD, cosicché l’applicazione di tale disposizione e quella dell’articolo 6, paragrafo 1, primo comma, lettera e), di tale regolamento si escludono a vicenda (49). Orbene, nel caso di specie, il trattamento dei dati personali di cui trattasi nel procedimento principale è effettuato dall’agenzia in occasione dell’esercizio del compito di interesse pubblico ad essa affidato, il che esclude fin dall’inizio l’applicazione dell’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD, a prescindere dalla questione se esso soddisfi le condizioni previste dall’articolo 6, paragrafo 3, del RGPD.
60. Non è quindi escluso che il giudice del rinvio sia indotto a concludere che il trattamento dei dati di cui trattasi nel procedimento principale fosse illecito, non soddisfacendo alcuna delle giustificazioni previste dall’articolo 6, paragrafo 1, del RGPD.
6. Diritto alla cancellazione
61. L’articolo 17 del RGPD stabilisce un diritto dell’interessato alla cancellazione dei dati personali che lo riguardano se sussiste uno dei motivi elencati al paragrafo 1 di tale articolo e impone, correlativamente, al titolare del trattamento l’obbligo di procedere a una tale cancellazione senza ingiustificato ritardo.
62. Tuttavia, l’articolo 17, paragrafo 3, del RGPD precisa che il paragrafo 1 di tale articolo non si applica nella misura in cui il trattamento in questione sia necessario per uno dei motivi elencati in tale prima disposizione. L’articolo 17, paragrafo 3, lettera b), di tale regolamento include tra tali motivi l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento.
63. Nella misura in cui tali eccezioni al diritto alla cancellazione riflettono i motivi di giustificazione del trattamento enunciati all’articolo 6, paragrafo 1, primo comma, lettere c) ed e), del RGPD, rinvio, per quanto riguarda la loro invocabilità in circostanze quali quelle del procedimento principale, all’analisi svolta ai paragrafi da 45 a 58 delle presenti conclusioni (50).
64. Pertanto, qualora il giudice del rinvio ritenesse che la messa a disposizione del pubblico nel registro di commercio dei dati personali di cui trattasi del procedimento principale non rientri, nel diritto bulgaro, nell’ambito di applicazione dell’articolo 6, paragrafo 1, primo comma, lettera c) o e), del RGPD, letto in combinato disposto con l’articolo 6, paragrafo 3, di tale regolamento, né, di conseguenza, dell’articolo 17, paragrafo 3, lettera b), del RGPD, la convenuta nel procedimento principale disporrebbe di un diritto alla cancellazione, consistente nella cessazione di una siffatta messa a disposizione del pubblico, e l’agenzia, in quanto titolare del trattamento, sarebbe tenuta a soddisfarlo. Infatti, l’articolo 17, paragrafo 1, lettera d), del RGPD prevede un diritto assoluto dell’interessato a che i suoi dati personali siano cancellati qualora siano stati trattati illecitamente (51).
65. Se, invece, il giudice del rinvio dovesse concludere che il trattamento dei dati di cui trattasi nel procedimento principale era conforme all’articolo 6, paragrafo 1, primo comma, lettera c) o e), del RGPD, l’articolo 17, paragrafo 3, lettera b), di tale regolamento sarebbe a priori applicabile. Tuttavia, sono necessarie due precisazioni.
66. Da un lato, nel caso in cui il giudice del rinvio giungesse alla conclusione che la messa a disposizione del pubblico dei dati personali di cui trattasi nel procedimento principale era necessaria per l’esecuzione del compito di interesse pubblico affidato all’agenzia per non ritardare l’iscrizione della società nel registro di commercio, tale sola ragione non può, a mio avviso, essere invocata per giustificare la conservazione di tali dati nel registro una volta che la società sia stata iscritta e, di conseguenza, per escludere, ai sensi dell’articolo 17, paragrafo 3, lettera b), del RGPD, il diritto alla cancellazione della convenuta nel procedimento principale. Tale diritto sarebbe allora garantito dall’articolo 17, paragrafo 1, lettera c), di tale regolamento, che si applica nel caso in cui l’interessato si opponesse, ai sensi dell’articolo 21, paragrafo 1, di detto regolamento, per motivi connessi alla sua situazione particolare, a un trattamento dei suoi dati personali ai sensi, in particolare, dell’articolo 6, paragrafo 1, primo comma, lettera e), del medesimo regolamento e qualora non sussista un «motivo legittimo prevalente per procedere al trattamento», circostanza che spetta al titolare del trattamento dimostrare (52). Orbene, per le stesse ragioni già esposte al paragrafo 56 delle presenti conclusioni, ritengo che l’esigenza di preservare l’integrità e l’affidabilità dei documenti su cui si basa l’iscrizione della società nel registro non possa costituire un tale motivo legittimo prevalente. Infatti, come ho rilevato, tale esigenza può essere soddisfatta ricorrendo ad altri mezzi meno lesivi del diritto fondamentale al rispetto dei dati personali.
67. Dall’altro lato, dalla sentenza Manni emerge che una limitazione dell’accesso ai soli terzi che dimostrino un interesse specifico può, caso per caso, essere giustificata da motivi preminenti e legittimi, derivanti dalla situazione particolare degli interessati, anche nel caso di dati personali che la direttiva 2017/1132 assoggetta a pubblicità obbligatoria e quindi anche nei casi in cui la messa a disposizione del pubblico derivi da un obbligo legale ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera c), del RGPD. Orbene, una tale limitazione dovrebbe a maggior ragione essere riconosciuta nel caso di dati personali che non sono soggetti a pubblicità né ai sensi del diritto dell’Unione né ai sensi del diritto nazionale. Inoltre, in una tale fattispecie, la condizione in presenza della quale, nella sentenza Manni, la Corte ha subordinato la limitazione all’accesso alle informazioni relativamente alle generalità del liquidatore della società, ossia che sia trascorso un periodo di tempo sufficientemente lungo dallo scioglimento della società, non sarebbe applicabile nel caso di specie e la limitazione all’accesso a dati del genere dovrebbe pertanto essere attuata senza ingiustificato ritardo.
7. Sulla subordinazione dell’esercizio del diritto alla cancellazione a specifiche modalità procedurali
68. Dalla decisione di rinvio risulta che l’agenzia ha subordinato la domanda di OL, diretta alla cancellazione dei dati personali che la riguardano la cui pubblicazione non è richiesta dal diritto bulgaro, al rispetto di specifiche modalità procedurali che prevedano la presentazione di una copia dell’atto contenente detti dati nella quale questi siano stati occultati. In assenza della presentazione di una tale copia, tale domanda è stata respinta o rinviata sine die. Secondo le spiegazioni fornite dall’agenzia, il rispetto di tali modalità procedurali sarebbe necessario poiché essa non ha il potere di modificare l’atto in questione, essendo tale modifica di esclusiva competenza degli organi della società.
69. Ricordo che, ai sensi dell’articolo 23, paragrafo 1, del RGPD, il diritto dell’Unione o il diritto nazionale «può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 (…), qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare» uno degli obiettivi ivi elencati. Nella misura in cui le modalità procedurali applicate dall’agenzia risultino in una limitazione dell’esercizio del diritto alla cancellazione, nonché dell’esercizio del diritto di opposizione previsto all’articolo 21 del RGPD, o addirittura nella loro esclusione, qualora l’interessato non riuscisse a ottenere dalla società le modifiche richieste dell’atto in questione, esse possono rientrare nell’ambito di applicazione dell’articolo 23, paragrafo 1, del RGPD (53). Occorre pertanto verificare se le condizioni previste da tale disposizione siano soddisfatte nel caso di specie, anche se il giudice del rinvio non chiede espressamente alla Corte di pronunciarsi su tale punto.
70. Al riguardo, osservo, innanzitutto, che tali modalità procedurali sembrano rientrare in una mera prassi interna dell’agenzia (54). Pertanto, fatte salve le verifiche di competenza del giudice del rinvio, esse non sembrano, anche solo per tale ragione, essere conformi all’articolo 23, paragrafo 1, del RGPD, il quale prevede che le limitazioni ai diritti elencati in tale disposizione debbano essere oggetto di «misure legislative».
71. Tali modalità procedurali sollevano, inoltre, interrogativi riguardanti il rispetto del principio di proporzionalità.
72. Infatti, se l’esigenza di garantire l’affidabilità e l’autenticità degli atti iscritti nel registro di commercio e, più in generale, la trasparenza e la certezza del diritto nell’esercizio della funzione ad esso affidata mi sembra possa rispondere a un «important[e] obiettiv[o] di interesse pubblico generale dell’Unione o di uno Stato membro», ai sensi dell’articolo 23, paragrafo 1, lettera e), del RGPD, essa non giustifica, a mio avviso, la limitazione, o l’esclusione, del diritto alla cancellazione o del diritto di opposizione in circostanze quali quelle di cui al procedimento principale, potendo essere utilizzati altri mezzi meno lesivi del diritto fondamentale al rispetto dei dati personali.
73. In tale contesto, pur ritenendo giustificato attendere che la società modifichi l’atto espungendone i dati di cui è chiesta la cancellazione, la Commissione propone che sia l’agenzia stessa a procedere ad occultare tali dati dopo un periodo di tempo ragionevole, nel caso in cui l’interessato non riesca ad ottenere dalla società che essa apporti una tale modifica.
74. Non sono convinto che una tale soluzione garantirebbe un giusto equilibrio tra i vari diritti e interessi in gioco, in quanto comporterebbe il mantenere a disposizione del pubblico, per un periodo indefinito e in un ambiente digitalizzato, dati che non erano destinati alla divulgazione. A mio avviso, un tale equilibrio potrebbe, invece, essere garantito riconoscendo all’agenzia il potere di procedere essa stessa, nel più breve tempo possibile dalla ricezione della richiesta di cancellazione, ad occultare i dati in questione dalla copia dell’atto messa a disposizione del pubblico, conservando al contempo nel fascicolo l’originale di tale atto e richiedendo alla società di presentare una modifica dello stesso, dalla quale detti dati sarebbero stati espunti, modifica che sarebbe a sua volta pubblicata nel registro.
75. Invero, l’articolo 16, paragrafo 4, primo e secondo comma, della direttiva 2017/1132 prevede che gli Stati membri adottino le misure necessarie per evitare qualsiasi discordanza fra il contenuto del registro e il contenuto del fascicolo e tra ciò che è pubblicato nel registro e ciò che è pubblicato nel bollettino nazionale. Tuttavia, l’esigenza di mantenere la coerenza tra le varie parti del registro e con il bollettino nazionale, nonché l’obiettivo di certezza del diritto che una tale esigenza sottende, non possono, a mio avviso, giustificare il fatto di mantenere a disposizione del pubblico, senza restrizioni e senza limiti temporali, in atti pubblicati nel registro, dati personali la cui divulgazione non è obbligatoria, qualora l’interessato ne richieda la cancellazione. Infatti, in primo luogo, le modifiche di tali atti che si rivelino necessarie all’occultamento di tali dati sarebbero identificabili e tracciabili e interverrebbero in modo trasparente. In secondo luogo, tali modifiche riguarderebbero elementi di tali atti la cui pubblicità non è necessaria per l’esecuzione di un compito di interesse pubblico attribuito al registro. In terzo luogo, l’integrità e l’autenticità di detti atti potrebbero essere preservate conservandone nel fascicolo gli originali, ai quali i terzi che dimostrino un interesse legittimo avrebbero un accesso regolamentato.
76. Sulla base di quanto sopra, ritengo che modalità procedurali quali quelle applicate nel caso di specie dall’agenzia non siano conformi all’articolo 23, paragrafo 1, del RGPD.
V. Conclusione
77. Alla luce di tutte le considerazioni che precedono, propongo alla Corte di rispondere come segue alla quarta e alla quinta questione pregiudiziale sollevate dal Varhoven administrativen sad (Corte suprema amministrativa, Bulgaria):
1) L’articolo 4, punto 7, e l’articolo 26, paragrafo 1, del regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
devono essere interpretati nel senso che:
l’autorità incaricata della tenuta del registro di commercio di uno Stato membro, la quale, ai sensi della legislazione di tale Stato, deve assicurare la pubblicità degli atti ad essa trasmessi nell’ambito di una domanda di iscrizione di una società in tale registro, è l’unica responsabile della messa a disposizione del pubblico dei dati personali contenuti in tali atti, anche nel caso in cui si tratti di dati la cui pubblicazione non è richiesta, e che, in conformità con tale legislazione, avrebbero dovuto essere da essi espunti prima della loro trasmissione a detta autorità.
2) Il regolamento 2016/679, in particolare il suo articolo 17 e il suo articolo 23, paragrafo 1,
deve essere interpretato nel senso che:
esso osta a una legislazione o a una prassi nazionale che subordini il diritto di una persona fisica di ottenere, dall’autorità incaricata della tenuta del registro di commercio di uno Stato membro, la cancellazione di dati personali che la riguardano, contenuti in atti messi a disposizione del pubblico in tale registro, a modalità procedurali che richiedano la presentazione di una copia dell’atto in questione dalla quale siano stati espunti tali dati. Nella sua qualità di titolare del trattamento, tale autorità non può essere esonerata dal proprio obbligo di accogliere una tale richiesta di cancellazione senza ingiustificato ritardo per il solo motivo di non aver ricevuto comunicazione di una tale copia.
3) La direttiva (UE) 2017/1132 del Parlamento europeo e del Consiglio, del 14 giugno 2017, relativa ad alcuni aspetti di diritto societario, come modificata dalla direttiva (UE) 2019/1151 del Parlamento europeo e del Consiglio, del 20 giugno 2019, in particolare il suo articolo 16, paragrafi da 2 a 4, letto alla luce del considerando 8 di tale direttiva,
non può essere interpretato nel senso che:
essa consenta l’adozione di tali modalità procedurali. Tale direttiva non osta a che l’autorità incaricata della tenuta del registro di commercio di uno Stato membro accolga una domanda di cancellazione di dati personali non richiesti dalla legislazione di tale Stato membro, contenuti in un atto messo a disposizione del pubblico in tale registro, espungendo essa stessa detti dati da tale atto e conservandone una copia della versione originale nel fascicolo di cui all’articolo 16, paragrafo 1, di detta direttiva.
1 Lingua originale: il francese.
2 Più precisamente, la domanda di pronuncia pregiudiziale verte sulle disposizioni della direttiva 2009/101/CE del Parlamento europeo e del Consiglio, del 16 settembre 2009, intesa a coordinare, per renderle equivalenti, le garanzie che sono richieste, negli Stati membri, alle società a mente dell’articolo 48, secondo comma, del trattato per proteggere gli interessi dei soci e dei terzi (GU 2009, L 258, pag. 11). Tuttavia, come si vedrà in seguito, è la direttiva (UE) 2017/1132 del Parlamento europeo e del Consiglio, del 14 giugno 2017, relativa ad alcuni aspetti di diritto societario (GU 2017, L 169, pag. 46), che si applica ratione temporis ai fatti del procedimento principale.
3 Regolamento del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD».
4 DV n. 34, del 25 aprile 2006.
5 DV n. 48, del 18 giugno 1991.
6 Trattasi del parere n. 01‑116(20)/01.02.2021.
7 Direttiva del Parlamento europeo e del Consiglio, del 20 giugno 2019, recante modifica della direttiva 2017/1132 (GU 2019, L 186, pag. 80).
8 V. articolo 2, paragrafo 1, della direttiva 2019/1151. Per quanto riguarda le modifiche apportate dall’articolo 1, punto 6, di tale direttiva, in relazione all’articolo 16, paragrafo 6, della direttiva 2017/1132, il termine di recepimento era il 1º agosto 2023.
9 V., in tal senso, mie conclusioni nella causa État belge (Dati elaborati da una Gazzetta ufficiale) (C‑231/22, EU:C:2023:468, paragrafo 80).
10 Rilevo che il 29 marzo 2023 la Commissione ha adottato una proposta di direttiva del Parlamento europeo e del Consiglio, recante modifica delle direttive 2009/102/CE e (UE) 2017/1132 per quanto concerne l’ulteriore ampliamento e miglioramento dell’uso di strumenti e processi digitali nel diritto societario (COM/2023/177 final).
11 V. sistema di interconnessione dei registri delle imprese, in vigore dall’8 giugno 2017, istituito dalla direttiva 2012/17/UE del Parlamento europeo e del Consiglio, del 13 giugno 2012, che modifica la direttiva 89/666/CEE del Consiglio e le direttive 2005/56/CE e 2009/101/CE del Parlamento europeo e del Consiglio in materia di interconnessione dei registri centrali, commerciali e delle imprese (GU 2012, L 156, pag. 1), e attualmente disciplinato dalla direttiva 2017/1132. Tale sistema collega i registri delle imprese nazionali a una piattaforma centrale europea e fornisce con il portale europeo della giustizia elettronica un unico punto di accesso attraverso il quale i cittadini, le imprese e le amministrazioni pubbliche possono cercare informazioni sulle imprese e sulle loro succursali create in altri Stati membri.
12 Nel suo parere sulla proposta di modifica della direttiva 2017/1132, il Garante europeo della protezione dei dati (GEPD) ha richiamato l’attenzione sulla necessità di «sensibilizzare ai rischi derivanti dall’accessibilità dei dati personali, che sarebbero più diffusamente disponibili su Internet in forma digitale e in più lingue attraverso una piattaforma/un punto di accesso europeo di facile consultazione» (parere del 26 luglio 2018, accessibile all’indirizzo https://edps.europa.eu/data-protection/our-work/publications/opinions/digital-tools-and-processed-company-law_fr [sintesi del parere in lingua italiana accessibile all’indirizzo EUR-Lex - 52018XX0913(01) - EUR-Lex (europa.eu)]).
13 L’OOD rientra nell’allegato II della direttiva 2017/1132 e nell’allegato II bis di tale direttiva, quale modificata dalla direttiva 2019/1151.
14 In tal caso, nel fascicolo risulta l’oggetto delle trascrizioni fatte nel registro; v. articolo 16, paragrafo 2, della direttiva 2017/1132.
15 V. articolo 16, paragrafo 3, della direttiva 2017/1132, che prevede la possibilità di pubblicare estratti degli atti di cui all’articolo 14 della stessa solo nella Gazzetta ufficiale dello Stato membro interessato.
16 V., per quanto riguarda la prima direttiva 68/151/CEE del Consiglio, del 9 marzo 1968, intesa a coordinare, per renderle equivalenti, le garanzie che sono richieste, negli Stati Membri, alle società a mente dell’articolo 58, secondo comma, del Trattato per proteggere gli interessi dei soci e dei terzi (GU 1968, L 65, pag. 8), sentenza del 9 marzo 2017, Manni (C‑398/15; in prosieguo: la «sentenza Manni», EU:C:2017:197, punto 34).
17 Sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, punti 28 e 29).
18 V., in tal senso, sentenza del 5 ottobre 2023, Ministerstvo zdravotnictví (Applicazione mobile Covid-19) (C‑659/22, EU:C:2023:745, punto 28).
19 C‑231/22, in prosieguo: la «sentenza État belge», EU:C:2024:7, punto 35. V. anche mie conclusioni nella causa che ha dato origine a tale sentenza (C‑231/22, EU:C:2023:468, paragrafi da 34 a 75).
20 V., in tal senso, sentenza État belge, punto 38.
21 V., in tal senso, sentenza État belge, punti 46 e 47.
22 V., in tal senso, sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, punti 44 e 45).
23 V., in tal senso, «Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR» del GEPD, versione 2.0 adottata il 7 luglio 2021, disponibili in italiano all’indirizzo Internet edpb_guidelines_202007_controllerprocessor_final_it, punti 70 e 72. V. anche mie conclusioni nella causa État belge (Dati trattati da una Gazzetta ufficiale) (C‑231/22, EU:C:2023:468, paragrafo 48 e nota 55).
24 V., in tal senso, sentenza État belge, punto 42.
25 V. sentenza État belge, punto 48.
26 Ricordo, tuttavia, che nella causa che ha dato origine alla sentenza État belge, si trattava della pubblicazione di documenti nella Gazzetta ufficiale di uno Stato membro, che costituiva la fase finale di un processo di trattamento che coinvolgeva diverse autorità pubbliche. La situazione fattuale all’origine di tale sentenza era quindi diversa da quella oggetto della presente causa.
27 Nelle sue osservazioni, l’agenzia spiega che, nel caso di una domanda online, il richiedente procede a caricare nel sistema del registro di commercio delle immagini elettroniche documenti cartacei sottoscritti necessari per la registrazione.
28 Tali finalità sono menzionate al paragrafo 49 delle presenti conclusioni.
29 V. sentenza État belge, punto 45.
30 V. sentenza État belge, punti 49 e 50.
31 V. sentenza del 21 dicembre 2023, Krankenversicherung Nordrhein (C‑667/21, EU:C:2023:1022, punto 76 e giurisprudenza citata).
32 V. sentenza del 7 dicembre 2023, SCHUFA Holding (Esdebitazione) (C‑26/22 e C‑64/22, EU:C:2023:958, punti 72 e 73 e giurisprudenza citata).
33 V. sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social network) (C‑252/21, EU:C:2023:537, punti da 91 a 93).
34 Ricordo che il giudice del rinvio si interroga su una siffatta compatibilità nell’ambito della sua terza questione pregiudiziale.
35 Come sottolinea il gruppo di lavoro «Articolo 29» nel suo parere 6/2014, l’ambito di applicazione dell’articolo 6, paragrafo 1, primo comma, lettera c), del RGPD è «strettamente limitato». Affinché tale disposizione possa applicarsi, l’obbligo legale deve essere sufficientemente chiaro e conforme al diritto applicabile in materia di protezione dei dati. Non mi sembra questo il caso di una legge che, da un lato, esclude il trattamento dei dati in questione e, dall’altro, lo autorizza o addirittura lo impone sulla base di un consenso presunto.
36 V. sentenza del 4 maggio 2023, Bundesrepublik Deutschland (Casella di posta elettronica degli uffici giudiziari) (C‑60/22, EU:C:2023:373, punti 54 e 55).
37 V. sentenza del 12 luglio 2012, Compass-Datenbank, (C‑138/11, EU:C:2012:449, punti 40 e 41), e sentenza Manni, punto 43.
38 V. sentenza Manni, punto 43.
39 C‑398/15, EU:C:2016:652, paragrafo 54.
40 V., in tal senso, sentenza del 12 novembre 1974, Haaga (32/74, EU:C:1974:116, punto 6), e sentenza Manni, punto 50.
41 V., in tal senso, sentenza del 2 marzo 2023, Norra Stockholm Bygg (C‑268/21, EU:C:2023:145, punto 31).
42 V., in tal senso, sentenza del 1º agosto 2022, Vyriausioji tarnybinės etikos komisija (C-184/20, EU:C:2022:601, punto 69).
43 In particolare, il domicilio del rappresentante della società o dei soci non rientra tra le generalità e la sua conoscenza non è, come sottolineato dall’avvocato generale Szpunar nelle sue conclusioni nella causa All in One Star (C‑469/19, EU:C:2020:822, paragrafo 51), utile alla protezione dei terzi.
44 V. sentenza Manni, punto 57.
45 V. sentenza Manni, punto 58.
46 V. sentenza del 1º agosto 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punto 70).
47 V., in tal senso, sentenza del 22 novembre 2022, Luxembourg Business Registers (C‑37/20 e C‑601/20, EU:C:2022:912, punto 66).
48 V., per analogia, sentenza del 30 gennaio 2024, Direktor na Glavna direktsia „Natsionalna politsia“ pri MVR – Sofia (C‑118/22, EU:C:2024:97, punto 41).
49 V. sentenza dell’8 dicembre 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Finalità del trattamento di dati personali – Indagine penale) (C‑180/21, EU:C:2022:967, punto 85).
50 Sebbene, in un obiter dictum contenuto nel punto 51 della sentenza État belge, la Corte abbia fatto riferimento alla possibilità che le eccezioni previste dall’articolo 17, paragrafo 3, lettere b) e d), del RGPD si applichino a una domanda di cancellazione di dati personali pubblicati nella Gazzetta ufficiale dello Stato membro interessato, essa non si è tuttavia pronunciata su tale questione, che non era stata sollevata dal giudice del rinvio nella causa che ha dato origine a tale sentenza.
51 V., in tal senso, sentenza del 7 dicembre 2023, SCHUFA Holding (Esdebitazione) (C‑26/22 e C‑64/22, EU:C:2023:958, punto 108); v. anche conclusioni dell’avvocato generale Pikamäe in tale causa (C‑26/22 e C‑64/22, EU:C:2023:222, paragrafo 91).
52 V., in tal senso, sentenza del 7 dicembre 2023, SCHUFA Holding (Esdebitazione) (C‑26/22 e C‑64/22 EU:C:2023:958, punti 111 e 112.
53 V., in tal senso, sentenza del 26 ottobre 2023, FT (Copia della cartella medica) (C‑307/22, EU:C:2023:811, punti da 53 a 69). V. anche conclusioni dell’avvocato generale Emiliou in tale causa (C‑307/22, EU:C:2023:315, paragrafo 37).
54 Sebbene detta procedura rifletta quella prevista dall’articolo 13, paragrafo 6, della legge sui registri, quest’ultima disposizione non sembra disciplinare il diritto alla cancellazione o il diritto di opposizione dell’interessato.