SENTENZA DELLA CORTE (Quinta Sezione)

24 febbraio 2022 ( *1 )

«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 2 – Ambito di applicazione – Articolo 4 – Nozione di “trattamento” – Articolo 5 – Principi applicabili al trattamento – Limitazione della finalità – Minimizzazione dei dati – Articolo 6 – Liceità del trattamento – Trattamento necessario per l’esecuzione di un compito di interesse pubblico di cui è investito il titolare del trattamento – Trattamento necessario all’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento – Articolo 23 – Limitazioni – Trattamento di dati a fini fiscali – Richiesta di comunicazione di informazioni relative ad annunci di vendita di veicoli pubblicati online – Proporzionalità»

Nella causa C‑175/20,

avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dalla Administratīvā apgabaltiesa (Corte amministrativa regionale, Lettonia), con decisione dell’11 marzo 2020, pervenuta in cancelleria il 14 aprile 2020, nel procedimento

«SS» SIA

contro

Valsts ieņēmumu dienests,

LA CORTE (Quinta Sezione),

composta da E. Regan, presidente di sezione, K. Lenaerts, presidente della Corte, facente funzione di giudice della Quinta Sezione, C. Lycourgos, presidente della Quarta Sezione, I. Jarukaitis e M. Ilešič (relatore), giudici,

avvocato generale: M. Bobek

cancelliere: A. Calot Escobar

vista la fase scritta del procedimento,

considerate le osservazioni presentate:

-- per la «SS» SIA, da M. Ruķers;

–	per il governo lettone, inizialmente da K. Pommere, V. Soņeca e L. Juškeviča, successivamente da K. Pommere, in qualità di agenti;

–	per il governo belga, da J.-C. Halleux e P. Cottin, in qualità di agenti, assistiti da C. Molitor, avocat;

–	per il governo ellenico, da E.-M. Mamouna e O. Patsopoulou, in qualità di agenti;

–	per il governo spagnolo, inizialmente da J. Rodríguez de la Rúa Puig e S. Jiménez García, successivamente da J. Rodríguez de la Rúa Puig, in qualità di agenti;

–	per la Commissione europea, inizialmente da H. Kranenborg, D. Nardi e I. Rubene, successivamente da H. Kranenborg e I. Rubene, in qualità di agenti,

sentite le conclusioni dell’avvocato generale, presentate all’udienza del 2 settembre 2021,

ha pronunciato la seguente

Sentenza

La domanda di pronuncia pregiudiziale verte sull’interpretazione del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1, e rettifiche GU 2016, L 314, pag. 72, GU 2018, L 127, pag. 3, GU 2021, L 74, pag. 35), in particolare dell’articolo 5, paragrafo 1.

Tale domanda è stata presentata nell’ambito di una controversia tra la «SS» SIA e il Valsts ieņēmumu dienests (amministrazione tributaria, Lettonia; in prosieguo l’«amministrazione tributaria lettone») in merito a una richiesta di comunicazione di informazioni relative ad annunci di vendita di veicoli pubblicati sul sito Internet della SS.

Contesto normativo

Diritto dell’Unione

Regolamento 2016/679

3	Il regolamento 2016/679, fondato sull’articolo 16 TFUE, si applica, ai sensi del suo articolo 99, paragrafo 2, a decorrere dal 25 maggio 2018.

I considerando 1, 4, 10, 19, 26, 31, 39, 41 e 50 di tale regolamento recitano così:

«(1)

La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea («Carta») e l’articolo 16, paragrafo 1, [TFUE] stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

(...)

(4)

Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.

(...)

(10)

Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. (...)

(...)

(19)

La protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, e la libera circolazione di tali dati sono oggetto di uno specifico atto dell’Unione. Il presente regolamento non dovrebbe pertanto applicarsi ai trattamenti effettuati per tali finalità. I dati personali trattati dalle autorità pubbliche in forza del presente regolamento, quando utilizzati per tali finalità, dovrebbero invece essere disciplinati da un più specifico atto dell’Unione, segnatamente la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio [,del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU 2016, L 119, pag. 89)]. (...)

(...)

(26)

È auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile. (...) Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. (...)

(...)

(31)

Le autorità pubbliche a cui i dati personali sono comunicati conformemente a un obbligo legale ai fini dell’esercizio della loro missione istituzionale, quali autorità fiscali e doganali, unità di indagine finanziaria, autorità amministrative indipendenti o autorità dei mercati finanziari, responsabili della regolamentazione e della vigilanza dei mercati dei valori mobiliari, non dovrebbero essere considerate destinatari qualora ricevano dati personali che sono necessari per svolgere una specifica indagine nell’interesse generale, conformemente al diritto dell’Unione o degli Stati membri. Le richieste di comunicazione inviate dalle autorità pubbliche dovrebbero sempre essere scritte, motivate e occasionali e non dovrebbero riguardare un intero archivio o condurre all’interconnessione di archivi. Il trattamento di tali dati personali da parte delle autorità pubbliche dovrebbe essere conforme alle norme in materia di protezione dei dati applicabili secondo le finalità del trattamento.

(...)

(39)

(...) Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l’informazione degli interessati sull’identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano. È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento. In particolare, le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e precisate al momento della raccolta di detti dati personali. I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. (...)

(...)

(41)

Qualora il presente regolamento faccia riferimento a una base giuridica o a una misura legislativa, ciò non richiede necessariamente l’adozione di un atto legislativo da parte di un parlamento, fatte salve le prescrizioni dell’ordinamento costituzionale dello Stato membro interessato. Tuttavia, tale base giuridica o misura legislativa dovrebbe essere chiara e precisa, e la sua applicazione prevedibile, per le persone che vi sono sottoposte, in conformità della giurisprudenza della Corte (…) e della Corte europea dei diritti dell’uomo.

(...)

(50)

Il trattamento dei dati personali per finalità diverse da quelle per le quali i dati personali sono stati inizialmente raccolti dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti. In tal caso non è richiesta alcuna base giuridica separata oltre a quella che ha consentito la raccolta dei dati personali. Se il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o per l’esercizio di pubblici poteri di cui è investito il titolare del trattamento, il diritto dell’Unione o degli Stati membri può stabilire e precisare le finalità e i compiti per i quali l’ulteriore trattamento è considerato lecito e compatibile. L’ulteriore trattamento a fini di archiviazione nel pubblico interesse, o di ricerca scientifica o storica o a fini statistici dovrebbe essere considerato un trattamento lecito e compatibile. La base giuridica fornita dal diritto dell’Unione o degli Stati membri per il trattamento dei dati personali può anche costituire una base giuridica per l’ulteriore trattamento. Per accertare se la finalità di un ulteriore trattamento sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento dovrebbe, dopo aver soddisfatto tutti i requisiti per la liceità del trattamento originario, tener conto tra l’altro di ogni nesso tra tali finalità e le finalità dell’ulteriore trattamento previsto, del contesto in cui i dati personali sono stati raccolti, in particolare le ragionevoli aspettative dell’interessato in base alla sua relazione con il titolare del trattamento con riguardo al loro ulteriore utilizzo; della natura dei dati personali; delle conseguenze dell’ulteriore trattamento previsto per gli interessati; e dell’esistenza di garanzie adeguate sia nel trattamento originario sia nell’ulteriore trattamento previsto».

L’articolo 2 del regolamento 2016/679, rubricato «Ambito di applicazione materiale», dispone quanto segue:

«1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

2. Il presente regolamento non si applica ai trattamenti di dati personali:

a)	effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;

b)	effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE;

c)	effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;

d)	effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.

(...)».

L’articolo 4 di tale regolamento, rubricato «Definizioni», recita così:

«Ai fini del presente regolamento s’intende per:

“dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

“trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

(...)

6)	“archivio”: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

7)	“titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; (...)

(...)

“destinatario”: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

(...)».

Ai sensi dell’articolo 5 di detto regolamento, rubricato «Principi applicabili al trattamento di dati personali»:

«1. I dati personali sono:

a)	trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);

b)	raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; (…) (“limitazione della finalità”);

c)	adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”);

d)	esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (“esattezza”);

e)	conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; (…) (“limitazione della conservazione”);

f)	trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”).

2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».

L’articolo 6 del medesimo regolamento, rubricato «Liceità del trattamento», prevede quanto segue:

«1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a)	l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b)	il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c)	il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d)	il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

e)	il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.

2. Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX.

3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:

a)	dal diritto dell’Unione; o

b)	dal diritto dello Stato membro cui è soggetto il titolare del trattamento.

La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. (…) Il diritto dell’Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito.

4. Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l’altro:

a)	di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto;

b)	del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento;

c)	della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 10;

d)	delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati;

e)	dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione».

Ai sensi dell’articolo 13, paragrafo 3, del regolamento 2016/679:

«Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2».

L’articolo 14 di tale regolamento dispone quanto segue:

«1. Qualora i dati non siano stati ottenuti presso l’interessato, il titolare del trattamento fornisce all’interessato le seguenti informazioni:

(...)

c)	le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

(...)

5. I paragrafi da 1 a 4 non si applicano se e nella misura in cui:

(...)

c)	l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell’interessato; (…)

(...)».

Ai sensi dell’articolo 23, paragrafo 1, lettera e), di detto regolamento:

«Il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:

(...)

e)	altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale;

(...)».

L’articolo 25, paragrafo 2, del regolamento 2016/679 dispone quanto segue:

«Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica».

Direttiva 2016/680

I considerando 10 e 11 della direttiva 2016/680 recitano così:

«(10)

Nella dichiarazione n. 21, relativa alla protezione dei dati personali nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia, allegata all’atto finale della conferenza intergovernativa che ha adottato il trattato di Lisbona, la conferenza riconosce che potrebbero rivelarsi necessarie, in considerazione della specificità dei settori in questione, norme specifiche sulla protezione dei dati personali e sulla libera circolazione di dati personali nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia, in base all’articolo 16 TFUE.

(11)

È pertanto opportuno per i settori in questione che una direttiva stabilisca le norme specifiche relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, nel rispetto della natura specifica di tali attività. Tali autorità competenti possono includere non solo autorità pubbliche quali le autorità giudiziarie, la polizia o altre autorità incaricate dell’applicazione della legge, ma anche qualsiasi altro organismo o entità incaricati dal diritto dello Stato membro di esercitare l’autorità pubblica e i poteri pubblici ai fini della presente direttiva. Qualora tale organismo o entità trattino dati personali per finalità diverse da quelle della presente direttiva, si applica il regolamento [2016/679]. Il regolamento [2016/679] si applica pertanto nei casi in cui un organismo o un’entità raccolgano dati personali per finalità diverse e procedano a un loro ulteriore trattamento per adempiere un obbligo legale cui sono soggetti. (…)».

L’articolo 3 della direttiva in parola dispone quanto segue:

«Ai fini della presente direttiva si intende per:

(...)

7. “autorità competente”:

a)	qualsiasi autorità pubblica competente in materia di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica; o

qualsiasi altro organismo o entità incaricati dal diritto dello Stato membro di esercitare l’autorità pubblica e i poteri pubblici a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica;

(...)».

Normativa lettone

Ai sensi dell’articolo 15, paragrafo 6, del likums «Par nodokļiem un nodevām» (legge sulle imposte e sulle tasse, Latvijas Vēstnesis, 1995, n. 26), nella versione applicabile al procedimento principale (in prosieguo: la «legge sulle imposte e sulle tasse»), il fornitore di servizi di annunci pubblicati su Internet è tenuto a comunicare, a richiesta dell’amministrazione tributaria lettone, le informazioni in suo possesso relative ai contribuenti che hanno pubblicato annunci avvalendosi dei suoi servizi.

Procedimento principale e questioni pregiudiziali

16	La SS è un fornitore di servizi di annunci pubblicati su Internet con sede in Lettonia.

Il 28 agosto 2018, l’amministrazione tributaria lettone ha rivolto alla SS una richiesta di informazioni sulla base dell’articolo 15, paragrafo 6, della legge sulle imposte e sulle tasse, con la quale invitava tale società a ripristinare l’accesso, di cui disponeva detta amministrazione tributaria, ai numeri di telaio dei veicoli oggetto degli annunci pubblicati sul portale Internet di tale società e ai numeri di telefono dei venditori, nonché a comunicarle, entro il 3 settembre 2018, informazioni sugli annunci pubblicati nel periodo compreso tra il 14 luglio e il 31 agosto 2018 nella rubrica di detto portale intitolata «Autoveicoli».

In tale richiesta si precisava che dette informazioni, le quali includevano il link all’annuncio, il testo di quest’ultimo, la marca, il modello, il numero di telaio e il prezzo del veicolo, nonché il numero di telefono del venditore, dovevano essere trasmesse per via elettronica, in un formato che consentisse di filtrare o selezionare i dati.

Inoltre, qualora l’accesso alle informazioni contenute negli annunci pubblicati sul portale Internet in questione non potesse essere ripristinato, si invitava la SS a indicarne il motivo e a comunicare, entro il terzo giorno di ciascun mese, le informazioni pertinenti sugli annunci pubblicati nel mese precedente.

Ritenendo che la richiesta di informazioni dell’amministrazione tributaria lettone non fosse conforme ai principi di proporzionalità e di minimizzazione dei dati personali, sanciti dal regolamento 2016/679, la SS ha presentato un reclamo contro tale richiesta al direttore generale pro tempore dell’amministrazione tributaria lettone.

21	Con decisione del 30 ottobre 2018, quest’ultimo ha respinto tale reclamo dichiarando in particolare che, nell’ambito del trattamento dei dati personali di cui trattasi nel procedimento principale, l’amministrazione tributaria lettone esercitava i poteri attribuitile dalla legge.

La SS ha proposto dinanzi all’administratīvā rajona tiesa (Tribunale amministrativo distrettuale, Lettonia) un ricorso diretto all’annullamento di tale decisione. Oltre agli argomenti dedotti nel suo reclamo, essa sosteneva che detta decisione non avrebbe indicato, in violazione dell’articolo 5, paragrafo 1, del regolamento 2016/679, né la finalità specifica del trattamento dei dati personali previsto dall’amministrazione tributaria lettone, né la quantità di dati necessari a quest’ultimo.

Con sentenza del 21 maggio 2019, l’administratīvā rajona tiesa (Tribunale amministrativo distrettuale) ha respinto tale ricorso stabilendo, in sostanza, che l’amministrazione tributaria lettone poteva legittimamente richiedere l’accesso a informazioni riguardanti qualsiasi persona e senza limitazioni quantitative, a meno che tali informazioni non siano considerate incompatibili con le finalità attinenti alla riscossione delle imposte. Detto giudice ha, inoltre, dichiarato che le disposizioni del regolamento 2016/679 non erano applicabili nei confronti di tale amministrazione.

La SS ha interposto appello contro detta sentenza dinanzi al giudice del rinvio deducendo, da un lato, che l’amministrazione tributaria lettone sarebbe soggetta alle disposizioni del regolamento 2016/679, e, dall’altro, che, richiedendo mensilmente e senza limitazioni temporali una quantità considerevole di dati personali relativi à un numero non delimitato di annunci, senza individuare i contribuenti nei cui confronti sarebbe stata avviata una verifica fiscale, tale amministrazione avrebbe violato il principio di proporzionalità.

Il giudice del rinvio precisa che, nell’ambito del procedimento principale, è pacifico che l’esecuzione della richiesta di informazioni di cui trattasi è intrinsecamente connessa al trattamento di dati personali, ed è altresì incontestato che l’amministrazione tributaria lettone ha il diritto di ottenere informazioni di cui disponga un fornitore di servizi di inserzioni pubblicitarie su Internet e che risultino necessarie per l’esecuzione di misure specifiche concernenti la riscossione delle imposte.

La controversia nel procedimento principale riguarderebbe la quantità e il tipo di informazioni che possono essere richieste dall’amministrazione tributaria lettone, il carattere limitato o illimitato di tali informazioni, nonché la questione se l’obbligo di comunicazione a carico della SS debba essere limitato nel tempo.

In particolare, il giudice del rinvio ritiene di dover stabilire se, nelle circostanze del procedimento principale, il trattamento dei dati personali sia effettuato in modo trasparente nei confronti degli interessati, se le informazioni indicate nella richiesta di comunicazione di cui trattasi siano richieste per finalità determinate, esplicite e legittime, e se il trattamento dei dati personali sia effettuato esclusivamente nei limiti in cui sia realmente necessario all’esercizio delle funzioni dell’amministrazione tributaria lettone, ai sensi dell’articolo 5, paragrafo 1, del regolamento 2016/679.

A tal fine, sarebbe necessario definire i criteri per poter valutare se una richiesta di comunicazione di dati da parte dell’amministrazione tributaria lettone rispetti l’essenza dei diritti e delle libertà fondamentali e se la richiesta di comunicazione di dati di cui trattasi nel procedimento principale possa essere considerata necessaria e proporzionata in una società democratica per salvaguardare importanti obiettivi dell’Unione e interessi pubblici lettoni in materia di bilancio e tributaria.

Alla luce di quanto precede, l’Administratīvā apgabaltiesa (Corte amministrativa regionale, Lettonia) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1)

Se i requisiti previsti dal regolamento [2016/679] debbano essere interpretati nel senso che una richiesta di informazioni emessa dall’Amministrazione tributaria, come quella di cui al presente procedimento, con la quale si chiede di fornire informazioni contenenti una notevole quantità di dati personali, debba soddisfare i requisiti previsti dal regolamento 2016/679 (in particolare dal suo articolo 5, paragrafo 1).

2)	Se i requisiti previsti dal regolamento [2016/679] debbano essere interpretati nel senso che l’Amministrazione tributaria può derogare all’articolo 5, paragrafo 1, di detto regolamento, sebbene la normativa vigente in Lettonia non conferisca siffatta facoltà a detta Amministrazione.

Se, nell’interpretare i requisiti previsti dal regolamento [2016/679], si possa ritenere che esista un obiettivo legittimo tale da giustificare l’obbligo, imposto mediante una richiesta di informazioni come quella di cui al presente procedimento, di fornire tutti i dati richiesti in una quantità e per un periodo di tempo non delimitati, senza che sia prevista una data finale per l’esecuzione di detta richiesta di informazioni.

Se, nell’interpretare i requisiti previsti dal regolamento [2016/679], si possa ritenere che esista un obiettivo legittimo tale da giustificare l’obbligo, imposto mediante una richiesta di informazioni come quella di cui al presente procedimento, di fornire tutti i dati richiesti, anche qualora nella richiesta di informazioni non sia indicata (o sia indicata in modo incompleto) la finalità della comunicazione delle informazioni.

Se, nell’interpretare i requisiti previsti dal regolamento [2016/679], si possa ritenere che esista un obiettivo legittimo tale da giustificare l’obbligo, imposto mediante una richiesta di informazioni come quella di cui al presente procedimento, di fornire tutti i dati richiesti anche qualora, di fatto, ciò riguardi incondizionatamente tutti gli interessati che hanno pubblicato annunci nella sezione “Autoveicoli” di un portale.

6)	Quali criteri debbano applicarsi per verificare se l’Amministrazione tributaria, agendo come titolare del trattamento, garantisca debitamente la conformità del trattamento dei dati (compreso l’ottenimento delle informazioni) ai requisiti previsti dal regolamento [2016/679].

7)	Quali criteri debbano applicarsi per verificare se una richiesta di informazioni come quella di cui al presente procedimento sia debitamente motivata e occasionale.

8)	Quali criteri debbano applicarsi per verificare se il trattamento dei dati personali sia effettuato nella misura necessaria e in modo compatibile con i requisiti previsti dal regolamento [2016/679].

9)	Quali criteri debbano applicarsi per verificare se l’Amministrazione tributaria, agendo come titolare del trattamento, garantisca la conformità del trattamento dei dati ai requisiti previsti dall’articolo 5, paragrafo 1, del regolamento [2016/679] (responsabilità proattiva)».

Sulle questioni pregiudiziali

Sulla prima questione

Con la prima questione, il giudice del rinvio chiede, in sostanza, se le disposizioni del regolamento 2016/679 debbano essere interpretate nel senso che è soggetta ai requisiti di tale regolamento, in particolare a quelli di cui all’articolo 5, paragrafo 1, di quest’ultimo, la raccolta, da parte dell’amministrazione tributaria di uno Stato membro presso un operatore economico, di informazioni riguardanti una quantità significativa di dati personali.

Per rispondere a tale questione, occorre verificare, in primo luogo, se una richiesta siffatta rientri nell’ambito di applicazione materiale del regolamento 2016/679, come definito all’articolo 2, paragrafo 1 di quest’ultimo, e, in secondo luogo, se essa non rientri tra i trattamenti di dati personali che l’articolo 2, paragrafo 2, di detto regolamento esclude da tale ambito di applicazione.

32	In primo luogo, ai sensi del suo articolo 2, paragrafo 1, il regolamento 2016/679 si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

L’articolo 4, punto 1, del regolamento 2016/679 specifica che per «dato personale» si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile, ossia una persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o a più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Il considerando 26 di detto regolamento precisa a tal proposito che, per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente.

34	Nell’ambito del procedimento principale, è pacifico che le informazioni, di cui l’amministrazione tributaria lettone ha richiesto la comunicazione, costituiscono dati personali ai sensi dell’articolo 4, punto 1, del regolamento 2016/679.

Secondo l’articolo 4, punto 2, di detto regolamento, la raccolta, la consultazione, la comunicazione mediante trasmissione e qualsiasi forma di messa a disposizione di dati personali costituiscono «trattamenti» ai sensi di tale regolamento. Dalla formulazione di tale disposizione, in particolare dall’espressione «qualsiasi operazione», risulta che il legislatore dell’Unione ha inteso attribuire alla nozione di «trattamento» una portata ampia. Tale interpretazione è corroborata dal carattere non tassativo, espresso dal vocabolo «come», delle operazioni menzionate in detta disposizione.

Nel caso di specie, l’amministrazione tributaria lettone richiede all’operatore economico interessato di ripristinare l’accesso degli organi di tale amministrazione ai numeri di telaio dei veicoli oggetto degli annunci pubblicati sul suo portale Internet e di fornire informazioni sugli annunci pubblicati su detto portale.

Una richiesta siffatta, con la quale l’amministrazione tributaria di uno Stato membro domanda a un operatore economico di comunicare e di mettere a disposizione dati personali che quest’ultimo è tenuto a fornirle e a metterle a sua disposizione ai sensi della normativa nazionale di tale Stato membro, avvia un processo di «raccolta» di tali dati, ai sensi dell’articolo 4, punto 2, del regolamento 2016/679.

38	Inoltre, la comunicazione e la messa a disposizione di detti dati a tale amministrazione da parte dell’operatore economico in questione comportano un «trattamento» ai sensi dell’articolo 4, punto 2.

In secondo luogo, si deve esaminare se l’operazione con cui l’amministrazione tributaria di uno Stato membro cerca di raccogliere presso un operatore economico i dati personali di taluni contribuenti possa essere considerata esclusa dall’ambito di applicazione del regolamento 2016/679 ai sensi del suo articolo 2, paragrafo 2.

A tale riguardo, occorre ricordare, innanzitutto, che tale disposizione prevede eccezioni all’ambito di applicazione di tale regolamento, quale definito al suo articolo 2, paragrafo 1, e che tali eccezioni devono essere interpretate restrittivamente (sentenza del 16 luglio 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559, punto 84).

41	In particolare, l’articolo 2, paragrafo 2, lettera d), del regolamento 2016/679 prevede che quest’ultimo non si applichi al trattamento di dati personali effettuato dalle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali.

Come emerge dal considerando 19 del regolamento in parola, tale eccezione è motivata dalla circostanza che i trattamenti dei dati personali, da parte delle autorità competenti e per le succitate finalità, sono disciplinati da un atto specifico dell’Unione, ossia la direttiva 2016/680, la quale è stata adottata il medesimo giorno del regolamento 2016/679 e definisce, al suo articolo 3, punto 7, ciò che debba intendersi per «autorità competente», definizione questa che deve essere applicata, per analogia, all’articolo 2, paragrafo 2, lettera d) di tale regolamento [v., in tal senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 69].

Dal considerando 10 della direttiva 2016/680 si evince che la nozione di «autorità competente» deve essere intesa in relazione alla protezione dei dati personali nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia, tenuto conto degli adeguamenti che possono al riguardo risultare necessari in considerazione della specificità di tali settori. Inoltre, il considerando 11 della direttiva in parola precisa che il regolamento 2016/679 si applica al trattamento dei dati personali che venga effettuato da un’«autorità competente», ai sensi dell’articolo 3, punto 7, di detta direttiva, ma per finalità diverse da quelle previste da quest’ultima [sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 70].

Pertanto, quando l’amministrazione tributaria di uno Stato membro richiede a un operatore economico di comunicarle dati personali relativi a taluni contribuenti ai fini della riscossione delle imposte e della lotta all’evasione fiscale, non appare che tale amministrazione possa essere considerata un’«autorità competente» ai sensi dell’articolo 3, punto 7, della direttiva 2016/680, né perciò che siffatte richieste di informazioni possano rientrare nell’eccezione prevista dall’articolo 2, paragrafo 2, lettera d), del regolamento 2016/679.

Inoltre, anche se non è escluso che i dati personali di cui trattasi nel procedimento principale possano essere utilizzati nell’ambito dell’azione penale esercitabile, in caso di violazione in materia tributaria, contro alcune delle persone interessate, non appare che tali dati siano stati raccolti con lo scopo specifico di esercitare tale azione penale o nell’ambito di attività dello Stato in materia di diritto penale (v., in tal senso, sentenza del 27 settembre 2017, Puškár, C‑73/16, EU:C:2017:725, punto 40).

Pertanto, la raccolta, da parte dell’amministrazione tributaria di uno Stato membro, di dati personali relativi agli annunci di vendita di veicoli pubblicati sul sito Internet di un operatore economico rientra nell’ambito di applicazione materiale del regolamento 2016/679 e, di conseguenza, deve rispettare, in particolare, i principi applicabili al trattamento dei dati personali di cui all’articolo 5 di tale regolamento.

Alla luce di tutte le considerazioni che precedono, si deve rispondere alla prima questione dichiarando che le disposizioni del regolamento 2016/679 devono essere interpretate nel senso che è soggetta ai requisiti di tale regolamento, in particolare a quelli di cui all’articolo 5, paragrafo 1, di quest’ultimo, la raccolta, da parte dell’amministrazione tributaria di uno Stato membro presso un operatore economico, di informazioni riguardanti una quantità significativa di dati personali.

Sulla seconda questione

Con la seconda questione, il giudice del rinvio chiede, in sostanza, se le disposizioni del regolamento 2016/679 debbano essere interpretate nel senso che l’amministrazione tributaria di uno Stato membro può derogare alle disposizioni dell’articolo 5, paragrafo 1, di detto regolamento ancorché siffatto diritto non le sia stato riconosciuto dal diritto nazionale di tale Stato membro.

49	In via preliminare, va ricordato che, come risulta dal suo considerando 10, il regolamento 2016/679 mira in particolare ad assicurare un elevato livello di protezione delle persone fisiche all’interno dell’Unione.

A tal fine, i capi II e III del regolamento 2016/679 enunciano, rispettivamente, i principi che disciplinano il trattamento dei dati personali e i diritti dell’interessato che devono essere rispettati in qualsiasi trattamento di dati personali. In particolare, qualsiasi trattamento di dati personali deve, in particolare, essere conforme ai principi applicabili al trattamento di tali dati enunciati all’articolo 5 di detto regolamento (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 208).

L’articolo 23 del regolamento 2016/679, tuttavia, consente all’Unione e agli Stati membri di adottare «misure legislative» che limitino la portata degli obblighi e dei diritti previsti, segnatamente, dall’articolo 5 di tale regolamento, nella misura in cui corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22 di tale regolamento, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare importanti obiettivi di interesse pubblico generale dell’Unione o dello Stato membro interessato, come, in particolare, un rilevante interesse economico o finanziario, anche in materia di bilancio e tributaria.

52	A tal proposito, dal considerando 41 del regolamento 2016/679 risulta che il riferimento in tale regolamento a una «misura legislativa» non richiede necessariamente l’adozione di un atto legislativo da parte di un parlamento.

53	Ciò premesso, occorre ricordare che, come indicato al considerando 4, il regolamento 2016/679 rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, tra cui, in particolare, la protezione dei dati personali.

Orbene, ai sensi dell’articolo 52, paragrafo 1, prima frase, della Carta, eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti da quest’ultima, che comprendono, segnatamente, il diritto al rispetto della vita privata, garantito dall’articolo 7 della Carta, e il diritto alla protezione dei dati di carattere personale, sancito dall’articolo 8 della Carta, devono essere previste dalla legge, il che implica, in particolare, che la base giuridica che consente l’ingerenza in tali diritti deve definire essa stessa la portata della limitazione dell’esercizio del diritto considerato (v., in tal senso, sentenza del 6 ottobre 2020, Privacy International, C‑623/17, EU:C:2020:790, punto 65 e giurisprudenza ivi citata).

A tal proposito, la Corte ha dichiarato, inoltre, che la normativa recante una misura che consenta un’ingerenza siffatta deve prevedere regole chiare e precise che disciplinino la portata e l’applicazione della misura in questione e fissino requisiti minimi, di modo che le persone i cui dati personali siano stati trasferiti dispongano di garanzie sufficienti che consentano di proteggere efficacemente tali dati contro i rischi di abusi [v., in tal senso, sentenza del 2 marzo 2021, Prokuratuur (Condizioni di accesso ai dati relativi alle comunicazioni elettroniche), C‑746/18, EU:C:2021:152, punto 48 e giurisprudenza ivi citata].

Di conseguenza, qualsiasi misura adottata ai sensi dell’articolo 23 del regolamento 2016/679 deve, come il legislatore dell’Unione ha, del resto, sottolineato nel considerando 41 di tale regolamento, essere chiara e precisa, e la sua applicazione prevedibile per le persone che vi sono sottoposte. In particolare, queste ultime devono essere in grado di individuare le circostanze e le condizioni in cui può essere limitata la portata dei diritti conferiti loro dal suddetto regolamento.

Dalle considerazioni che precedono discende che l’amministrazione tributaria di uno Stato membro non può derogare alle disposizioni dell’articolo 5 del regolamento 2016/679 in assenza di una base giuridica chiara e precisa nel diritto dell’Unione o nel diritto nazionale, la cui applicazione sia prevedibile per le persone che vi sono sottoposte, e che contempli le circostanze e le condizioni in cui può essere limitata la portata degli obblighi e dei diritti previsti da tale articolo 5.

Pertanto, si deve rispondere alla seconda questione dichiarando che le disposizioni del regolamento 2016/679 devono essere interpretate nel senso che l’amministrazione tributaria di uno Stato membro non può derogare alle disposizioni dell’articolo 5, paragrafo 1, di detto regolamento se un diritto siffatto non le è stato riconosciuto da una misura legislativa ai sensi dell’articolo 23, paragrafo 1, del medesimo regolamento.

Sulle questioni dalla terza alla nona

Con le questioni dalla terza alla nona, che devono essere esaminate congiuntamente, il giudice del rinvio chiede, in sostanza, se le disposizioni del regolamento 2016/679 debbano essere interpretate nel senso che ostano a che l’amministrazione tributaria di uno Stato membro imponga a un fornitore di servizi di annunci pubblicati su Internet di comunicarle, per un periodo di tempo indeterminato e senza che sia specificata la finalità di tale richiesta di comunicazione, informazioni relative a tutti i contribuenti che abbiano pubblicato annunci in una delle sezioni del suo portale Internet.

In via preliminare, occorre rilevare che in una situazione come quella oggetto del procedimento principale possono aver luogo due trattamenti di dati personali. Come risulta dai punti 37 e 38 della presente sentenza, si tratta della raccolta di dati personali effettuata dall’amministrazione tributaria presso il fornitore di servizi interessato e, in tale contesto, della comunicazione mediante trasmissione di detti dati da parte di tale fornitore a detta amministrazione.

Come risulta dalla giurisprudenza citata al punto 50 della presente sentenza, ciascuno di tali trattamenti deve, fatte salve le deroghe consentite dall’articolo 23 del regolamento 2016/679, rispettare i principi applicabili al trattamento dei dati personali di cui all’articolo 5 di tale regolamento e i diritti dell’interessato di cui agli articoli da 12 a 22 dello stesso.

Nel caso di specie, il giudice del rinvio si interroga, in particolare, sul fatto che, da un lato, i trattamenti menzionati al punto 60 della presente sentenza riguardano informazioni in quantità illimitata che riguardano un periodo di tempo indeterminato e, dall’altro lato, che la finalità di tali trattamenti non è precisata nella richiesta di informazioni.

63	A tal proposito, va sottolineato, in primo luogo, che l’articolo 5, paragrafo 1, lettera b), del regolamento 2016/679 prevede che i dati personali debbano essere raccolti, in particolare, per finalità determinate, esplicite e legittime.

64	Anzitutto, il requisito secondo cui le finalità del trattamento devono essere determinate implica, come risulta dal considerando 39 di detto regolamento, che queste ultime devono essere individuate, al più tardi, al momento della raccolta dei dati personali.

65	Le finalità del trattamento, poi, devono essere esplicite, il che significa che devono essere chiaramente indicate.

66	Infine, tali finalità devono essere legittime. È necessario perciò che garantiscano un trattamento lecito ai sensi dell’articolo 6, paragrafo 1, di detto regolamento.

I trattamenti di cui al punto 60 della presente sentenza sono avviati dalla richiesta di comunicazione di dati personali che l’amministrazione tributaria lettone rivolge al fornitore di servizi di annunci pubblicati su Internet. A tal proposito, appare che ai sensi dell’articolo 15, paragrafo 6, della legge sulle imposte e sulle tasse, tale fornitore sia tenuto a soddisfare una siffatta richiesta.

68	Alla luce delle considerazioni esposte nei punti 64 e 65 della presente sentenza, è necessario che le finalità di detti trattamenti siano chiaramente indicate in tale richiesta.

A condizione che le finalità così indicate in detta richiesta siano necessarie per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investita l’amministrazione tributaria, tale circostanza è sufficiente, come risulta dall’articolo 6, paragrafo 1, primo comma, parte iniziale e lettera e), del regolamento 2016/679, in combinato disposto con l’articolo 6, paragrafo 3, secondo comma, di detto regolamento, affinché tali trattamenti soddisfacciano anche il requisito di liceità richiamato al punto 66 della presente sentenza.

A tal proposito, occorre ricordare che la riscossione delle imposte e la lotta all’evasione fiscale devono essere considerate compiti di interesse pubblico ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera e), del regolamento 2016/679 (v., per analogia, sentenza del 27 settembre 2017, Puškár, C‑73/16, EU:C:2017:725, punto 108).

Ne consegue che, nel caso in cui la comunicazione dei dati personali di cui trattasi non si fondi direttamente sulla disposizione di legge che ne costituisce la base, ma risulti da una richiesta dell’autorità pubblica competente, è necessario che tale richiesta precisi le finalità specifiche di detta raccolta di dati in relazione al compito di interesse pubblico o all’esercizio di pubblici poteri, al fine di consentire al destinatario della richiesta di assicurarsi della liceità della trasmissione dei dati personali di cui trattasi e ai giudici nazionali di controllare la legittimità dei trattamenti in questione.

72	In secondo luogo, ai sensi dell’articolo 5, paragrafo 1, lettera c), del regolamento 2016/679, i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

A tal proposito, si deve rammentare che, secondo costante giurisprudenza, le deroghe e le restrizioni al principio della protezione di simili dati devono avere luogo nei limiti dello stretto necessario [v., in tal senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 110 e giurisprudenza ivi citata].

Ne consegue che il titolare del trattamento, anche quando agisce nel contesto del compito di interesse pubblico di cui è investito, non può raccogliere dati personali in modo generalizzato e indiscriminato e deve astenersi dal raccogliere dati che non siano strettamente necessari rispetto alle finalità del trattamento.

Nel caso di specie, occorre rilevare che, come risulta dai punti da 17 a 19 della presente sentenza, l’amministrazione tributaria lettone ha richiesto all’operatore economico interessato di comunicarle dati relativi agli annunci di vendita di autoveicoli pubblicati sul suo sito Internet tra il 14 luglio e il 31 agosto 2018 e, nel caso in cui l’accesso a tali informazioni non potesse essere ripristinato, di fornirle, entro il terzo giorno di ogni mese, i dati relativi agli annunci di vendita di autoveicoli pubblicati sul suo sito Internet nel mese precedente, senza che quest’ultima richiesta fosse sottoposta ad alcun limite temporale.

Alla luce delle considerazioni esposte al punto 74 della presente sentenza, è compito del giudice del rinvio verificare se la finalità della raccolta di tali dati possa essere conseguita senza che l’amministrazione tributaria lettone abbia potenzialmente a propria disposizione i dati relativi a tutti gli annunci di vendita di autoveicoli pubblicati sul sito Internet di detto operatore e, in particolare, se sia concepibile che tale amministrazione individui taluni annunci mediante criteri specifici.

In tale contesto, va sottolineato che, conformemente al principio di responsabilizzazione di cui all’articolo 5, paragrafo 2, del regolamento 2016/679, il titolare del trattamento deve essere in grado di comprovare di aver rispettato i principi applicabili al trattamento dei dati personali di cui al paragrafo 1 di tale articolo.

78	Pertanto, spetta all’amministrazione tributaria lettone dimostrare di essersi adoperata, conformemente all’articolo 25, paragrafo 2, di tale regolamento, per ridurre al minimo possibile la quantità di dati personali da raccogliere.

Per quanto riguarda il fatto che la richiesta di informazioni avanzata dall’amministrazione tributaria lettone non prevede alcun limite temporale nel caso di mancato ripristino, da parte del fornitore di servizi di annunci interessato, dell’accesso agli annunci pubblicati nel periodo coperto dalla richiesta, occorre ricordare che, in ossequio al principio di minimizzazione dei dati, il titolare del trattamento è del pari tenuto a limitare il periodo di raccolta dei dati personali di cui trattasi a quanto strettamente necessario, alla luce della finalità del trattamento previsto.

80	Pertanto, il periodo oggetto della raccolta non può superare la durata strettamente necessaria per raggiungere l’obiettivo di interesse generale perseguito.

81	Come risulta dal punto 77 della presente sentenza, l’onere della prova al riguardo è a carico dell’amministrazione tributaria lettone.

Tuttavia, il fatto che tali dati siano raccolti senza che l’amministrazione tributaria lettone abbia fissato, nella richiesta stessa di informazioni, alcun limite temporale per siffatto trattamento non consente, in quanto tale, di ritenere che la durata del trattamento oltrepassi il periodo strettamente necessario per raggiungere l’obiettivo perseguito.

In tale contesto, si deve tuttavia rammentare che, per soddisfare il requisito di proporzionalità, che trova espressione nell’articolo 5, paragrafo 1, lettera c), del regolamento 2016/679 [v., in tal senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 98 e giurisprudenza ivi citata], la normativa su cui si fonda il trattamento deve prevedere regole chiare e precise che disciplinino la portata e l’applicazione della misura de qua e impongano requisiti minimi in modo che le persone i cui dati personali sono interessati dispongano di garanzie sufficienti che permettano di proteggere efficacemente tali dati contro il rischio di abusi. Tale normativa dev’essere giuridicamente vincolante nell’ambito dell’ordinamento nazionale e, in particolare, indicare in quali circostanze e a quali condizioni una misura che preveda il trattamento di tali dati possa essere adottata, garantendo così che l’ingerenza sia limitata allo stretto necessario. (sentenza del 6 ottobre 2020, Privacy International, C‑623/17, EU:C:2020:790, punto 68 e giurisprudenza ivi citata).

Ne consegue che la normativa nazionale che disciplina una richiesta di informazioni come quella di cui trattasi nel procedimento principale deve fondarsi su criteri oggettivi per definire le circostanze e le condizioni in cui un fornitore di servizi online deve comunicare dati personali relativi ai propri utenti (v., in tal senso, sentenza del 6 ottobre 2020, Privacy International, C‑623/17, EU:C:2020:790, punto 78 e giurisprudenza ivi citata).

Alla luce di tutte le considerazioni che precedono, occorre rispondere alle questioni dalla terza alla nona dichiarando che le disposizioni del regolamento 2016/679 devono essere interpretate nel senso che non ostano a che l’amministrazione tributaria di uno Stato membro imponga a un fornitore di servizi di annunci pubblicati su Internet di comunicarle informazioni relative ai contribuenti che abbiano pubblicato annunci in una delle sezioni del suo portale Internet, purché, segnatamente, tali dati siano necessari rispetto alle finalità specifiche per le quali sono raccolti e il periodo oggetto della raccolta di detti dati non oltrepassi la durata strettamente necessaria per raggiungere l’obiettivo di interesse generale perseguito.

Sulle spese

86	Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Quinta Sezione) dichiara:

Le disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), devono essere interpretate nel senso che è soggetta ai requisiti di tale regolamento, in particolare a quelli di cui all’articolo 5, paragrafo 1, di quest’ultimo, la raccolta, da parte dell’amministrazione tributaria di uno Stato membro presso un operatore economico, di informazioni riguardanti una quantità significativa di dati personali.

Le disposizioni del regolamento 2016/679 devono essere interpretate nel senso che l’amministrazione tributaria di uno Stato membro non può derogare alle disposizioni dell’articolo 5, paragrafo 1, di detto regolamento se un diritto siffatto non le è stato riconosciuto da una misura legislativa ai sensi dell’articolo 23, paragrafo 1, del medesimo regolamento.

Le disposizioni del regolamento 2016/679 devono essere interpretate nel senso che non ostano a che l’amministrazione tributaria di uno Stato membro imponga a un fornitore di servizi di annunci pubblicati su Internet di comunicarle informazioni relative ai contribuenti che abbiano pubblicato annunci in una delle sezioni del suo portale Internet, purché, segnatamente, tali dati siano necessari rispetto alle finalità specifiche per le quali sono raccolti e il periodo oggetto della raccolta di detti dati non oltrepassi la durata strettamente necessaria per raggiungere l’obiettivo di interesse generale perseguito.

Firme

( *1 ) Lingua processuale: il lettone.