Sentenza della Corte (Grande Sezione) del 5 dicembre 2023 (domanda di pronuncia pregiudiziale proposta dal Vilniaus apygardos administracinis teismas — Lituania) — Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos / Valstybinė duomenų apsaugos inspekcija

(Causa C-683/21 (1), Nacionalinis visuomenės sveikatos centras)

(Rinvio pregiudiziale - Protezione dei dati personali - Regolamento (UE) 2016/679 - Articolo 4, punti 2 e 7 - Nozioni di «trattamento» e di «titolare del trattamento» - Sviluppo di un’applicazione informatica mobile - Articolo 26 - Contitolarità del trattamento - Articolo 83 - Irrogazione di sanzioni amministrative pecuniarie - Presupposti - Necessità del carattere doloso o colposo della violazione - Responsabilità del titolare del trattamento per il trattamento di dati personali effettuato dal responsabile del trattamento)

(C/2024/914)

Lingua processuale: il lituano

Giudice del rinvio

Vilniaus apygardos administracinis teismas

Parti nel procedimento principale

Ricorrente: Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

Resistente: Valstybinė duomenų apsaugos inspekcija

Con l’intervento di: UAB «IT sprendimai sėkmei», Lietuvos Respublikos sveikatos apsaugos ministerija

Dispositivo

L’articolo 4, punto 7, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),

deve essere interpretato nel senso che:

può essere considerato titolare del trattamento, ai sensi di tale disposizione, un ente che ha incaricato un’impresa di sviluppare un’applicazione informatica mobile e che, in tale contesto, ha partecipato alla determinazione delle finalità e dei mezzi del trattamento dei dati personali effettuato mediante tale applicazione, anche se tale ente non ha proceduto, esso stesso, a operazioni di trattamento di tali dati, non ha dato esplicitamente il proprio consenso alla realizzazione delle operazioni concrete di un siffatto trattamento o alla messa a disposizione del pubblico di detta applicazione mobile e non ha acquisito quella stessa applicazione mobile, salvo che, prima di tale messa a disposizione nei confronti del pubblico, il suddetto ente si sia espressamente opposto ad essa e al trattamento dei dati personali che ne è derivato.

L’articolo 4, punto 7, e l’articolo 26, paragrafo 1, del regolamento 2016/679

devono essere interpretati nel senso che:

la qualificazione di due enti come contitolari del trattamento non presuppone né l’esistenza di un accordo tra di essi sulla determinazione delle finalità e dei mezzi del trattamento dei dati personali di cui trattasi né l’esistenza di un accordo che fissi le condizioni relative alla contitolarità del trattamento.

L’articolo 4, punto 2, del regolamento 2016/679

deve essere interpretato nel senso che:

costituisce un «trattamento», ai sensi di tale disposizione, l’uso di dati personali a fini di test informatici di un’applicazione mobile, salvo che tali dati siano stati resi anonimi in modo da impedire o da non consentire più l’identificazione dell’interessato o che si tratti di dati fittizi che non si riferiscono a una persona fisica esistente.

L’articolo 83 del regolamento 2016/679

deve essere interpretato nel senso che:

da un lato, una sanzione amministrativa pecuniaria può essere irrogata ai sensi di tale disposizione solo qualora sia accertato che il titolare del trattamento ha commesso, con dolo o colpa, una violazione di cui ai paragrafi da 4 a 6 di detto articolo e,

dall’altro, una sanzione pecuniaria siffatta può essere inflitta a un titolare del trattamento in relazione a operazioni di trattamento di dati personali effettuate per suo conto da un responsabile del trattamento, salvo che, nell’ambito di tali operazioni, detto responsabile del trattamento abbia effettuato trattamenti per finalità che gli sono proprie o abbia trattato tali dati in modo incompatibile con il quadro o le modalità del trattamento quali erano stati determinati dal titolare del trattamento o in modo tale che non si può ragionevolmente ritenere che tale titolare abbia a ciò acconsentito.

(1) GU C 84 del 21.2.2022.