1)

L’articolo 21, paragrafo 2, della direttiva (UE) 2017/1132 del Parlamento europeo e del Consiglio, del 14 giugno 2017, relativa ad alcuni aspetti di diritto societario,

deve essere interpretato nel senso che:

esso non impone ad uno Stato membro l’obbligo di consentire la pubblicità, nel registro del commercio, di un contratto di società soggetto alla pubblicità obbligatoria prevista da tale direttiva e contenente dati personali diversi dai dati personali minimi richiesti, la cui pubblicazione non è richiesta dal diritto di tale Stato membro.

2)

Il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), in particolare l’articolo 4, punti 7 e 9 dello stesso,

deve essere interpretato nel senso che:

l’autorità responsabile della tenuta del registro del commercio di uno Stato membro che pubblica, in tale registro, i dati personali contenuti in un contratto di società soggetto all’obbligo di pubblicità previsto dalla direttiva 2017/1132, che le è stato trasmesso nell’ambito di una domanda di iscrizione della società in questione nel suddetto registro, è tanto «destinatario» di tali dati quanto, soprattutto nei limiti in cui li mette a disposizione del pubblico, «titolare del trattamento» di detti dati, ai sensi di tale disposizione, anche qualora tale contratto contenga dati personali non richiesti da tale direttiva o dal diritto di tale Stato membro.

3)

La direttiva 2017/1132, in particolare il suo articolo 16, nonché l’articolo 17 del regolamento 2016/679

devono essere interpretati nel senso che:

ostano a una normativa o a una prassi di uno Stato membro che conduca l’autorità responsabile della tenuta del registro del commercio di tale Stato membro a respingere qualsiasi domanda di cancellazione di dati personali, non richiesti da tale direttiva o dal diritto di detto Stato membro, contenuti in un contratto di società pubblicato in detto registro, qualora non sia stata fornita a tale autorità una copia di detto contratto che ometta siffatti dati, contrariamente a quanto previsto nelle modalità procedurali stabilite dalla normativa stessa.

4)

L’articolo 4, punto 1, del regolamento 2016/679

deve essere interpretato nel senso che:

la firma autografa di una persona fisica rientra nella nozione di «dato personale» ai sensi di tale disposizione.

5)

L’articolo 82, paragrafo 1, del regolamento 2016/679

deve essere interpretato nel senso che:

una perdita del controllo di durata limitata, da parte dell’interessato, sui suoi dati personali, a causa della messa a disposizione del pubblico di tali dati, online, nel registro del commercio di uno Stato membro, può essere sufficiente a cagionare un «danno immateriale», purché tale persona dimostri di aver effettivamente subìto un siffatto danno, per quanto minimo, senza che tale nozione di «danno immateriale» richieda la dimostrazione che sussistono ulteriori conseguenze negative tangibili.

6)

L’articolo 82, paragrafo 3, del regolamento 2016/679

deve essere interpretato nel senso che:

un parere dell’autorità di controllo di uno Stato membro, emesso sulla base dell’articolo 58, paragrafo 3, lettera b), di tale regolamento, non è sufficiente ad esonerare dalla responsabilità, ai sensi dell’articolo 82, paragrafo 2, di detto regolamento, l’autorità responsabile della tenuta del registro del commercio di tale Stato membro avente la qualità di «titolare del trattamento» ai sensi dell’articolo 4, punto 7, del regolamento medesimo.