1.

Le presenti domande di pronuncia pregiudiziale, proposte dal Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden, Germania) ai sensi dell’articolo 267 TFUE, vertono sull’interpretazione degli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta») e dell’articolo 6, paragrafo 1, primo comma, lettera f), dell’articolo 17, paragrafo 1, lettera d), dell’articolo 40, dell’articolo 77, paragrafo 1, e dell’articolo 78, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) ( 2 ) (in prosieguo: il «RGPD»).

2.

Le domande di cui trattasi si inseriscono nell’ambito di due controversie che oppongono, la prima, UF (causa C‑26/22) e, la seconda, AB (causa C‑64/22) al Land Hessen (Land Assia, Germania), rappresentato dall’Hessischer Beauftragter für Datenschutz und Informationsfreiheit (commissario per la protezione dei dati e la libertà d’informazione del Land Assia; in prosieguo: l’«HBDI»), con riferimento alle richieste presentate rispettivamente da UF e AB all’HBDI di intervenire ai fini della cancellazione di un’iscrizione di un’esdebitazione presso la SCHUFA Holding AG (in prosieguo: la «SCHUFA»).

3.

Le due cause sollevano diverse questioni giuridiche inedite vertenti, in particolare, sulla natura giuridica della decisione adottata dall’autorità di controllo adita mediante reclamo, nonché sulla portata del controllo giurisdizionale che il giudice può esercitare nel quadro di un ricorso proposto avverso una siffatta decisione. Dette cause vertono altresì sulla questione della liceità della conservazione, presso agenzie di valutazione del credito, di dati personali provenienti da registri pubblici.

4.

Ai sensi dell’articolo 79, paragrafi 4 e 5, del regolamento (UE) 2015/848 del Parlamento europeo e del Consiglio, del 20 maggio 2015, relativo alle procedure di insolvenza ( 3 ):

«4.   Gli Stati membri sono responsabili, ai sensi della direttiva 95/46/CE [del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31)], della raccolta e della conservazione dei dati nelle banche dati nazionali e delle decisioni prese per rendere tali dati disponibili nel registro interconnesso consultabile attraverso il portale europeo della giustizia elettronica.

5.   Nel quadro dell’informativa agli interessati volta a consentire a questi ultimi di esercitare i loro diritti, in particolare il diritto alla cancellazione dei dati, gli Stati membri informano gli interessati del periodo di accessibilità fissato per i dati personali conservati nei registri fallimentari».

5.

L’articolo 5 del RGPD dispone, al suo paragrafo 1, quanto segue:

«I dati personali sono:

(...)

(...)».

6.

L’articolo 6 del regolamento di cui trattasi prevede, al suo paragrafo 1:

«Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

(...)

(...)».

7.

L’articolo 17 del RGPD, al suo paragrafo 1, così dispone:

«L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

(...)

(...)».

8.

L’articolo 21 del suddetto regolamento prevede, al suo paragrafo 1:

«L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria».

9.

L’articolo 40 del medesimo regolamento enuncia quanto segue:

«1.   Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese.

2.   Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare l’applicazione del presente regolamento, ad esempio relativamente a:

(...)

5.   Le associazioni e gli altri organismi di cui al paragrafo 2 del presente articolo che intendono elaborare un codice di condotta o modificare o prorogare un codice esistente sottopongono il progetto di codice, la modifica o la proroga all’autorità di controllo competente ai sensi dell’articolo 55. L’autorità di controllo esprime un parere sulla conformità al presente regolamento del progetto di codice, della modifica o della proroga e approva tale progetto, modifica o proroga, se ritiene che offra in misura sufficiente garanzie adeguate.

(...)».

10.

L’articolo 77 del RGPD prevede, al suo paragrafo 1, quanto segue:

«Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione».

11.

L’articolo 78 di detto regolamento così dispone:

«1.   Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda.

2.   Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ciascun interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora l’autorità di controllo che sia competente ai sensi degli articoli 55 e 56 non tratti un reclamo o non lo informi entro tre mesi dello stato o dell’esito del reclamo proposto ai sensi dell’articolo 77.

(...)».

12.

L’articolo 9 dell’Insolvenzordnung (legge sulle procedure di insolvenza), nella versione vigente all’epoca dei fatti oggetto dei procedimenti principali, dispone, al suo paragrafo 1, quanto segue:

«La pubblicazione ufficiale avviene mediante pubblicazione su Internet a livello centrale per tutti i Länder; può essere effettuata per estratto. Il debitore deve essere identificato con precisione, in particolare indicando il suo indirizzo e il suo settore di attività. La pubblicazione si considera perfezionata una volta decorsi altri due giorni da quello in cui è stata effettuata».

13.

L’articolo 3 della Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (regolamento sulle pubblicazioni nelle procedure d’insolvenza su Internet; in prosieguo: l’«InsBekV») enuncia, ai suoi paragrafi 1 e 2, quanto segue:

«1)   La pubblicazione in un sistema elettronico di informazione e comunicazione dei dati relativi a una procedura d’insolvenza, compresa la procedura d’apertura, deve essere cancellata al più tardi entro sei mesi dall’annullamento della procedura di insolvenza o dal momento in cui la sua sospensione è divenuta definitiva. In caso di mancato avvio della procedura, il termine inizia a decorrere dall’annullamento delle misure conservative pubblicate.

2)   Il paragrafo 1, prima frase, si applica alle pubblicazioni nell’ambito della procedura di esdebitazione, compresa l’ordinanza di cui all’articolo 289 dell’Insolvenzordnung [legge sulle procedure di insolvenza], fermo restando che il termine inizia a decorrere dal momento in cui la decisione di esdebitazione è divenuta definitiva».

14.

Nell’ambito delle procedure di insolvenza che li riguardano, UF e AB hanno ottenuto un’esdebitazione anticipata sulla base di ordinanze giudiziarie pronunciate, rispettivamente, il 17 dicembre 2020 e il 23 marzo 2021. In linea con quanto previsto all’articolo 9, paragrafo 1, della legge sulle procedure di insolvenza e all’articolo 3, paragrafi 1 e 2, del’InsBekV, tale circostanza è stata oggetto di una pubblicazione ufficiale su Internet, cancellata trascorsi sei mesi.

15.

La SCHUFA, un’agenzia privata di valutazione del credito, registra nelle proprie banche dati le informazioni pubblicate in merito alle esdebitazioni anticipate, cancellandole, tuttavia, solo trascorsi tre anni dalla registrazione.

16.

Contattata rispettivamente da UF e da AB, che chiedevano la cancellazione delle iscrizioni che li riguardavano, la SCHUFA ha risposto loro che la sua attività rispettava il RGPD e che il termine di cancellazione di sei mesi previsto dall’articolo 3, paragrafo 1, dell’InsBekV non era ad essa applicabile. Sia UF che AB hanno, quindi, proposto un reclamo all’HBDI quale autorità di controllo competente.

17.

L’HBDI si è pronunciato su detti reclami con due pareri emanati, rispettivamente, il 1o marzo 2021 e il 9 luglio 2021. A suo avviso, la SCHUFA ha il diritto di conservare le iscrizioni negative relative a un’esdebitazione oltre il periodo di esdebitazione.

18.

UF e AB hanno presentato, ciascuno, un ricorso avverso il parere dell’HBDI dinanzi al Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden), giudice del rinvio. A tal riguardo, essi sostengono che l’HBDI è tenuto, nel quadro dei suoi compiti e dei suoi poteri, ad adottare provvedimenti nei confronti della SCHUFA al fine di imporre la cancellazione delle iscrizioni che li riguardano.

19.

A questo proposito, il giudice del rinvio reputa necessario, in primo luogo, chiarire la natura giuridica della decisione che l’autorità di controllo emana sul reclamo proposto ai sensi dell’articolo 77, paragrafo 1, del RGPD. Tale giudice osserva che, in base al parere dell’HBDI, il diritto previsto in detto articolo 77, paragrafo 1, è concepito come un diritto di petizione. Esso sarebbe pertanto soggetto a un controllo giurisdizionale ristretto che si limiterebbe a verificare che l’autorità di controllo abbia trattato il reclamo e abbia informato il suo autore dello stato e dell’esito dello stesso. Per contro, il giudice non dovrebbe esaminare la correttezza nel merito della decisione emanata sul reclamo.

20.

Tuttavia, detto giudice dubita della conformità di tale analisi con il RGPD. A suo avviso, infatti, l’articolo 78, paragrafo 1, del regolamento di cui trattasi richiederebbe un ricorso giurisdizionale effettivo. Alla luce dell’obiettivo di detto regolamento, consistente, nel quadro dell’attuazione degli articoli 7 e 8 della Carta, nel garantire una tutela efficace delle libertà e dei diritti fondamentali delle persone fisiche, il trattamento del diritto di proporre reclamo non può essere interpretato in maniera restrittiva. Il giudice del rinvio è, quindi, propenso ad accogliere un’interpretazione secondo cui la decisione adottata nel merito dall’autorità di controllo deve essere soggetta al pieno controllo giurisdizionale, pur riconoscendo che detta autorità dispone sia di un potere di valutazione che di un potere discrezionale e che essa è tenuta a intervenire solo laddove non possano essere individuate alternative legittime.

21.

In secondo luogo, il giudice del rinvio si interroga in merito alla liceità della conservazione, presso le agenzie di valutazione del credito, di dati provenienti da registri pubblici. A questo riguardo, detto giudice precisa che tali agenzie ricevono dallo Stato tutte le iscrizioni dei registri pubblici, nella fattispecie il registro dei debitori e il registro fallimentare. Tali dati servirebbero, secondo l’HBDI, per valutare la solvibilità e potrebbero essere conservati per tutto il tempo necessario ai fini per i quali sono stati conservati. Inoltre, in mancanza di una regolamentazione al riguardo da parte del legislatore nazionale, le autorità di controllo avrebbero adottato codici di condotta di concerto con l’associazione che riunisce le agenzie di valutazione del credito, fermo restando che detti codici di condotta prevedono una cancellazione esattamente tre anni dopo l’iscrizione nel registro.

22.

Secondo il giudice del rinvio, alla luce degli articoli 7 e 8 della Carta, si pone la questione se le iscrizioni nei registri pubblici possano essere trasferite una ad una in registri gestiti privatamente, senza che vi sia uno specifico motivo per la conservazione dei dati. Si tratterebbe, in ultima analisi, di una tenuta di dati di scorta, specialmente se questi sono già stati cancellati dal registro nazionale per decorrenza del periodo di conservazione. Inoltre, la SCHUFA sarebbe solo una delle varie agenzie di valutazione del credito, con la conseguenza che i dati di cui trattasi sarebbero conservati in Germania in più sedi, il che comporterebbe una grave violazione del diritto fondamentale di cui all’articolo 7 della Carta.

23.

Il giudice del rinvio aggiunge che un trattamento e quindi una conservazione dei dati sono autorizzati solo qualora sia soddisfatta una delle condizioni previste all’articolo 6, paragrafo 1, del RGPD, fermo restando che, nel caso di specie, rileva solo l’articolo 6, paragrafo 1, primo comma, lettera f), di detto regolamento. Orbene, sarebbe dubbio che un titolare del trattamento, come la SCHUFA, abbia un legittimo interesse ai sensi di detta disposizione. In ogni caso, per un’agenzia di valutazione del credito sarebbe sempre possibile consultare, in presenza di un legittimo interesse, i registri pubblici fintantoché i dati siano ivi conservati.

24.

Inoltre, all’articolo 3 dell’InsBekV, il legislatore tedesco prevederebbe solo una durata relativamente breve, pari a sei mesi, della conservazione dell’iscrizione relativa all’esdebitazione nel registro fallimentare. Tale disciplina si fonderebbe, a sua volta, sull’articolo 79, paragrafo 5, del regolamento 2015/848, ai sensi del quale gli Stati membri informano gli interessati del periodo di accessibilità fissato per i dati personali conservati nei registri fallimentari affinché questi possano esercitare i loro diritti, in particolare il diritto alla cancellazione dei dati. Tuttavia, tale diritto decadrebbe in caso di conservazione in un gran numero di registri privati, in cui i dati siano poi conservati per un periodo più lungo.

25.

Inoltre, anche ammettendo che la conservazione, presso agenzie private di valutazione del credito, di dati provenienti da registri pubblici sia lecita, ci si potrebbe chiedere se i codici di condotta approvati a norma dell’articolo 40 del RGPD, che prevedono un termine di cancellazione di tre anni per l’iscrizione relativa all’esdebitazione, debbano essere presi in considerazione nell’ambito del bilanciamento richiesto dalla valutazione ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD.

26.

In tali circostanze, il Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

27.

La decisione di rinvio nella causa C‑26/22, recante la data del 23 dicembre 2021, è pervenuta alla cancelleria della Corte l’11 gennaio 2022. La decisione di rinvio nella causa C‑64/22, recante la data del 31 gennaio 2022, è pervenuta alla cancelleria della Corte il 2 febbraio 2022.

28.

Con decisione della Corte dell’11 febbraio 2022, le cause sono state riunite ai fini della fase scritta e orale del procedimento nonché della sentenza.

29.

Le parti nel procedimento principale, la SCHUFA, i governi tedesco e portoghese, nonché la Commissione europea, hanno depositato osservazioni scritte nel termine impartito dall’articolo 23 dello Statuto della Corte di giustizia dell’Unione europea.

30.

All’udienza del 26 gennaio 2023 hanno presentato osservazioni i rappresentanti processuali delle parti nel procedimento principale, della SCHUFA, e gli agenti della Commissione.

31.

Posto che, in un’economia di mercato, la fiducia reciproca rappresenta il fondamento di ogni vincolo contrattuale, è, in linea di principio, comprensibile, da un punto di vista imprenditoriale, che i fornitori di servizi e di beni desiderino conoscere i propri clienti e i rischi connessi a un siffatto vincolo contrattuale. Le agenzie di valutazione del credito possono contribuire a rafforzare detta fiducia reciproca attraverso metodi statistici che consentono alle imprese di stabilire se determinati criteri pertinenti, compresa la solvibilità dei loro clienti, siano – nella specie – soddisfatti. In tal modo, esse aiutano le imprese a conformarsi a diverse disposizioni del diritto dell’Unione che impongono loro, per l’appunto, un siffatto obbligo per determinate tipologie di contratti, segnatamente i contratti di credito ( 4 ). Ciò premesso, tali società non sono le uniche a fornire servizi siffatti. Consapevole della necessità di garantire una certa trasparenza e prevedibilità nelle transazioni finanziarie, il legislatore dell’Unione esige dagli Stati membri la creazione e la tenuta di uno o più registri in cui sono pubblicate informazioni concernenti le procedure di insolvenza.

32.

Ne consegue che esisteranno, in parallelo, più banche dati, vale a dire, da un lato, i registri «ufficiali» gestiti dalle autorità pubbliche e, dall’altro, le banche dati amministrate da società private. Tale parallelismo può portare a una concorrenza tra i sistemi e persino generare conflitti legali se i regimi giuridici cui detti registri sono soggetti differiscono tra loro in misura significativa. Le differenze normative possono divenire particolarmente problematiche se incidono sulla protezione dei dati, poiché, a prescindere dal soggetto, pubblico o privato, che tiene il registro, questi deve rispettare, nel modo in cui detti dati sono gestiti e registrati, l’interesse delle persone coinvolte. Infatti, posto che le informazioni relative alla situazione economica di una persona si caratterizzano per la loro natura sensibile dal punto di vista del rispetto del diritto alla protezione dei dati personali e della vita privata, si rende necessaria una particolare vigilanza.

33.

Il RGPD, applicabile a decorrere dal 25 maggio 2018, ha creato un quadro giuridico che mira a tener conto degli interessi succitati in tutta l’Unione, in particolare imponendo determinate restrizioni al trattamento dei dati personali. Così, l’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD richiede che il trattamento sia necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali. In altre parole, la liceità del trattamento deve risultare da una ponderazione dei diversi interessi in gioco, dovendo risultare prevalenti gli interessi perseguiti dal titolare del trattamento o da un terzo. Compete all’autorità di controllo, che, in forza dell’articolo 77, paragrafo 1, del RGPD, dovrà trattare ogni eventuale reclamo dell’interessato vertente sulla violazione dei suoi diritti fondamentali, verificare il soddisfacimento di dette condizioni. Infine, se l’interessato decide di presentare ricorso avverso le decisioni dell’autorità di controllo, a norma dell’articolo 78, paragrafo 1, del RGPD, saranno i giudici nazionali a dover garantire un controllo giurisdizionale effettivo.

34.

I paragrafi precedenti delle presenti conclusioni riassumono brevemente i diversi aspetti giuridici sollevati dal giudice del rinvio nelle sue domande di pronuncia pregiudiziale. La prima questione verte sulla natura giuridica della decisione adottata dall’autorità di controllo adita mediante reclamo, nonché sulla portata del controllo giurisdizionale che il giudice può esercitare nel quadro di un ricorso proposto avverso una siffatta decisione. Le questioni da due a cinque riguardano, sostanzialmente, la liceità della conservazione, presso agenzie di valutazione del credito, di dati personali provenienti da registri pubblici. Le questioni pregiudiziali saranno esaminate nel prosieguo secondo l’ordine con cui sono state poste dal giudice del rinvio.

35.

Posto che la prima questione verte sulle due fasi del mezzo di ricorso amministrativo, vale a dire il reclamo proposto all’autorità di controllo e il ricorso giurisdizionale dinanzi a un’autorità giudiziaria, disciplinati, rispettivamente, dagli articoli 77 e 78 del RGPD, reputo opportuno descrivere brevemente queste due fasi e, in tal modo, affrontare gli aspetti giuridici su cui si interroga il giudice del rinvio.

36.

Come già ricordato nelle mie osservazioni preliminari, il RGPD mira a garantire la protezione delle persone fisiche con riguardo al trattamento dei dati personali, riconosciuta quale diritto fondamentale dall’articolo 8, paragrafo 1, della Carta e dall’articolo 16, paragrafo 1, TFUE. Considerato che ciascun trattamento dei dati personali può incidere sulla vita privata, occorre altresì menzionare la protezione garantita dall’articolo 7 della Carta ( 5 ). Inoltre, dall’articolo 1, paragrafo 2, del RGPD, in combinato disposto con i considerando 10, 11 e 13 di detto regolamento, emerge che il legislatore dell’Unione affida tale compito ad organi e organismi dell’Unione, ma anche alle autorità competenti degli Stati membri, tra le quali figurano le autorità di controllo e i giudici nazionali ( 6 ).

37.

A questo proposito, va osservato che l’articolo 8, paragrafo 3, della Carta dispone che il rispetto delle regole in materia di protezione dei dati di carattere personale è soggetto al controllo di un’autorità indipendente. L’articolo 57, paragrafo 1, lettera a), del RGPD dà attuazione a detto obbligo derivato dal diritto primario, disponendo che ciascuna autorità di controllo ha il compito di sorvegliare e assicurare l’applicazione di detto regolamento. Il trattamento dei reclami proposti da un interessato rientra nelle sue responsabilità, come risulta espressamente dall’articolo 57, paragrafo 1, lettera f), del RGPD.

38.

La Corte ha dichiarato che, in forza di detta disposizione, «ogni autorità di controllo è tenuta, nel suo territorio, a trattare i reclami che qualsiasi persona, ai sensi dell’articolo 77, paragrafo 1, di tale regolamento, ha il diritto di proporre quando considera che un trattamento di dati personali che la riguardano costituisca una violazione di tale regolamento, e ad esaminarne l’oggetto nella misura necessaria» ( 7 ). In tale contesto, occorre attirare l’attenzione sul fatto che la Corte ha sottolineato l’obbligo che grava sull’autorità di controllo di «procedere al trattamento di un reclamo siffatto con tutta la diligenza richiesta» al fine di garantire il rispetto delle disposizioni del RGPD. Parimenti, va osservato che il considerando 141 del RGPD precisa che «[s]uccessivamente al reclamo si dovrebbe condurre un’indagine (...) nella misura in cui ciò sia opportuno nel caso specifico» (il corsivo è mio).

39.

Tutti questi elementi mi portano a ritenere che l’autorità di controllo abbia un obbligo imperativo di trattare i reclami proposti da un interessato con tutta la diligenza richiesta dal caso di specie ( 8 ). Posto che ogni violazione del RGPD può, in linea di principio, costituire una violazione dei diritti fondamentali, mi sembrerebbe incompatibile con il sistema previsto da detto regolamento riconoscere all’autorità di controllo il potere discrezionale di trattare o meno i reclami. Un siffatto approccio rimetterebbe in discussione il ruolo cruciale che il RGPD le attribuisce, consistente nel vigilare sul rispetto delle norme in materia di protezione dei dati personali e violerebbe, di conseguenza, gli obiettivi perseguiti dal legislatore dell’Unione ( 9 ). In definitiva, non bisogna dimenticare che i reclami rappresentano una preziosa fonte di informazioni per l’autorità di controllo, che le consentono di individuare le violazioni ( 10 ).

40.

Tale interpretazione è tanto più convincente ove si consideri che l’articolo 57, paragrafo 1, lettera f), del RGPD impone all’autorità di controllo una serie di requisiti nel quadro del trattamento di un siffatto reclamo, vale a dire l’obbligo di svolgere le indagini opportune sull’oggetto del reclamo e informare il reclamante dello stato e dell’esito delle indagini entro un termine ragionevole, in particolare ove siano necessarie ulteriori indagini o un coordinamento con un’altra autorità di controllo. A ciò si aggiunge l’obbligo, previsto all’articolo 77, paragrafo 2, del RGPD, di informare il reclamante dello stato o dell’esito del reclamo, compresa la possibilità di un ricorso giurisdizionale ai sensi dell’articolo 78 del RGPD. Tutti questi requisiti, che rientrano nella nozione di «buona amministrazione» – di cui un’espressione si rinviene all’articolo 41 della Carta con riferimento specificamente alle attività delle istituzioni e degli organi dell’Unione ( 11 ) – mirano a rafforzare la procedura di reclamo così da farne un vero e proprio ricorso amministrativo.

41.

Se l’autorità di controllo, quale garante del rispetto delle disposizioni del RGPD, è tenuta a trattare i reclami che le sono presentati, numerosi elementi depongono a favore di un’interpretazione secondo cui quest’ultima dispone di un potere di valutazione nell’esaminare detti reclami, e di un certo margine di manovra per quanto attiene alla scelta degli strumenti appropriati per adempiere i compiti che le sono affidati. Infatti, l’avvocato generale Saugmandsgaard Øe ha osservato che l’articolo 58, paragrafo 1, del RGPD «conferisce (...) rilevanti poteri d’indagine alle autorità di controllo» e che queste ultime dispongono, in forza dell’articolo 58, paragrafo 2, di detto regolamento, di «un’ampia gamma di mezzi (...) per svolgere il compito assegnato [loro]», riferendosi in tale contesto ai vari poteri di adottare le misure correttive elencate in tale disposizione ( 12 ). Esso ha poi precisato che, benché l’autorità di controllo competente «[sia] tenuta a svolgere pienamente il compito di sorveglianza affidatole», «la scelta del mezzo più efficace rientr[a] nel [suo] potere discrezionale (...) alla luce di tutte le circostanze (...) in questione» ( 13 ). Non posso che condividere tale interpretazione.

42.

La descrizione dettagliata del potere riconosciuto alle autorità di controllo di adottare misure correttive mette in evidenza il fatto che il legislatore dell’Unione non ha inteso fare della procedura di reclamo una procedura assimilabile a quella di una petizione. Al contrario, l’obiettivo legislativo sembra essere stato quello di creare un meccanismo idoneo a salvaguardare in maniera efficace i diritti e gli interessi delle persone che propongono reclami. Ciò detto, mi sembra chiaro che tale margine di manovra non può essere interpretato nel senso che l’autorità di controllo disporrebbe di un potere illimitato che l’autorizza ad agire in modo arbitrario. Al contrario, l’autorità di controllo è tenuta ad esercitare detto margine di manovra nel rispetto dei limiti che le impone il diritto dell’Unione. Sempre per tale ragione non si può escludere la possibilità che l’autorità di controllo, quale organo amministrativo, si veda costretta ad adottare una misura determinata in ragione delle circostanze specifiche del caso di specie, segnatamente quando esiste un serio rischio di violazione dei diritti fondamentali dell’interessato.

43.

Questa interpretazione, che riconosce all’autorità di controllo un certo margine di manovra nella scelta dei mezzi, trova conferma nell’articolo 58, paragrafo 4, del RGPD, ai sensi del quale «[l]’esercizio da parte di un’autorità di controllo dei poteri attribuitile dal presente articolo è soggetto a garanzie adeguate, inclusi il ricorso giurisdizionale effettivo» (il corsivo è mio), conformemente all’articolo 47 della Carta. L’articolo 78, paragrafi 1 e 2, del RGPD riconosce, peraltro, il diritto di ogni persona di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante di un’autorità di controllo che la riguarda o qualora tale autorità ometta di trattare il suo reclamo.

44.

Ciò mi porta ad affrontare la questione relativa alla natura giuridica delle decisioni adottate dall’autorità di controllo che il giudice del rinvio ha sollevato nelle sue domande di pronuncia pregiudiziale. A tal riguardo, va ricordato il considerando 141 del RGPD, da cui emerge che «[c]iascun interessato dovrebbe avere il diritto di proporre reclamo a un’(...)autorità di controllo (...) e il diritto a un ricorso giurisdizionale effettivo a norma dell’articolo 47 della Carta qualora ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento o se l’autorità di controllo non dà seguito a un reclamo, lo respinge in tutto o in parte o lo archivia o non agisce quando è necessario intervenire per proteggere i diritti dell’interessato» (il corsivo è mio). Tale considerando tiene conto del fatto che una decisione dell’autorità di controllo può ledere l’interessato, in particolare se essa conclude che il reclamo non è fondato, ritiene che non vi sia stata alcuna violazione del RGPD e non adotta, quindi, alcuna misura per sanare la situazione che ha dato origine al reclamo. Il legislatore dell’Unione riconosce l’effetto giuridicamente vincolante di una siffatta decisione e prevede, di conseguenza, a favore del reclamante un mezzo di ricorso dinanzi a un organo giurisdizionale nazionale.

45.

Parimenti, va osservato che l’autorità di controllo non può astenersi dal reagire, poiché dall’articolo 78, paragrafo 2, del RGPD risulta che «ciascun interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora l’autorità di controllo che sia competente ai sensi degli articoli 55 e 56 non tratti un reclamo o non lo informi entro tre mesi dello stato o dell’esito del reclamo proposto ai sensi dell’articolo 77». Tale circostanza impedisce di assimilare la procedura di reclamo a una petizione.

46.

Nel caso di specie, come illustrato dal giudice del rinvio nelle sue decisioni di rinvio, l’autorità di controllo ha adottato decisioni giuridicamente vincolanti nei confronti dei ricorrenti nei procedimenti principali. Essa ha ritenuto, in sostanza, che il trattamento dei dati personali dei ricorrenti da parte della SCHUFA fosse lecito in forza dell’articolo 6, paragrafo 1, primo comma, lettere b) ed f), del RGPD e, per tale ragione, ha implicitamente escluso il ricorso ad atti di indagine o correttivi.

47.

Il ricorso giurisdizionale di cui all’articolo 78 del RGPD rappresenta la seconda tappa del ricorso amministrativo previsto da detto regolamento. In tale contesto va osservato che sia il «reclamo» proposto all’autorità di controllo, sia il «ricorso giurisdizionale» sono concepiti come «diritti» dell’interessato, aspetto questo perfettamente comprensibile se si muove dall’idea che gli articoli da 77 a 79 del RGPD sono diretti a dare attuazione al diritto a un ricorso effettivo, sancito all’articolo 47 della Carta. Come ho già osservato in precedenza ( 14 ), una lettura congiunta dell’articolo 58, paragrafo 4, e dell’articolo 78 del RGPD, alla luce del considerando 141 di detto regolamento, consente di riconoscere chiaramente tale obiettivo ( 15 ).

48.

Per quanto attiene alla portata del sindacato giurisdizionale sulle decisioni adottate dall’autorità di controllo, va ricordato che le regole nazionali in materia di procedura amministrativa si applicano di norma nel quadro dell’autonomia procedurale, fatti salvi i principi di equivalenza e di effettività ( 16 ). Tuttavia, ritengo che un ricorso possa essere «effettivo» ai sensi dell’articolo 47 della Carta e dell’articolo 78, paragrafo 1, del RGPD solo se il giudice nazionale competente ha il potere e l’obbligo di sottoporre la decisione adottata nel merito dall’autorità di controllo a un sindacato giurisdizionale completo al fine di verificare se l’autorità di controllo abbia correttamente applicato il RGPD.

49.

Come ricordato dalla Corte nella sua giurisprudenza, «una normativa che non prevede alcuna possibilità per il singolo di avvalersi di rimedi giuridici al fine di accedere a dati personali che lo riguardano, oppure di ottenere la rettifica o la soppressione di tali dati, non rispetta il contenuto essenziale del diritto fondamentale ad una tutela giurisdizionale effettiva, quale sancito all’articolo 47 della Carta. Infatti, l’articolo 47, primo comma, della Carta esige che ogni individuo i cui diritti e le cui libertà garantiti dal diritto dell’Unione siano stati violati abbia diritto ad un ricorso effettivo dinanzi ad un giudice, nel rispetto delle condizioni previste in tale articolo. A tal riguardo, l’esistenza stessa di un controllo giurisdizionale effettivo, destinato ad assicurare il rispetto delle disposizioni del diritto dell’Unione, è inerente all’esistenza di uno Stato di diritto» ( 17 ).

50.

Al fine di stabilire la portata del sindacato giurisdizionale sulle decisioni adottate dall’autorità di controllo, mi sembra pertinente ricordare, anzitutto, il considerando 141 del RGPD, da cui emerge che «[s]uccessivamente al reclamo si dovrebbe condurre un’indagine, soggetta a controllo giurisdizionale, nella misura in cui ciò sia opportuno nel caso specifico» (il corsivo è mio). Deve poi essere ricordato il considerando 143 del RGPD, il quale enuncia che «ogni persona fisica o giuridica dovrebbe poter proporre un ricorso giurisdizionale effettivo dinanzi alle competenti autorità giurisdizionali nazionali contro una decisione dell’autorità di controllo che produce effetti giuridici nei confronti di detta persona. Tale decisione riguarda in particolare l’esercizio di poteri di indagine, correttivi e autorizzativi da parte dell’autorità di controllo o l’archiviazione o il rigetto dei reclami» (il corsivo è mio). A mio parere, tali passaggi devono essere intesi nel senso che il controllo giurisdizionale affidato al giudice nazionale ai sensi dell’articolo 78 del RGPD deve essere completo, vale a dire che deve estendersi a tutti gli aspetti pertinenti rientranti nel potere di valutazione esercitato dall’autorità di controllo nell’esaminare l’oggetto di un reclamo e nel suo margine discrezionale quanto alla scelta degli atti di indagine e delle misure correttive.

51.

L’obiettivo del legislatore dell’Unione di garantire un controllo giurisdizionale completo su ogni decisione di un’autorità di controllo che spiega effetti giuridici nei confronti dell’interessato che ha proposto un reclamo presso di essa risulta particolarmente evidente se si prende in considerazione un altro passaggio del considerando 143 del RGPD, ai sensi del quale «[l]e azioni contro l’autorità di controllo dovrebbero essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’autorità di controllo è stabilita e dovrebbero essere effettuate in conformità del diritto processuale dello Stato membro in questione. Tali autorità giurisdizionali dovrebbero esercitare i loro pieni poteri giurisdizionali, ivi compreso quello di esaminare tutte le questioni di fatto e di diritto che abbiano rilevanza per la controversia dinanzi a esse pendente» (il corsivo è mio) ( 18 ). Ritengo che solo un controllo giurisdizionale di una siffatta portata risponda ai requisiti dell’articolo 47 della Carta ( 19 ).

52.

Per contro, gli argomenti sollevati dalla SCHUFA e dall’HBDI a favore di un controllo giurisdizionale limitato delle decisioni delle autorità di controllo non mi sembrano convincenti. In primo luogo, l’«indipendenza» riconosciuta all’autorità di controllo ai sensi dell’articolo 52 del RGPD, che concretizza il requisito di cui all’articolo 8, paragrafo 3, della Carta, mira a proteggere detta autorità da ogni ingerenza indebita, ma non la esonera dall’obbligo di esercitare i compiti e i poteri che le sono assegnati nel pieno rispetto del diritto dell’Unione e di sottoporre le sue decisioni a un controllo giurisdizionale effettivo, al pari di ogni altra autorità nazionale. In secondo luogo, l’esistenza di un diritto a un ricorso giurisdizionale contro il titolare del trattamento, previsto all’articolo 79 del RGPD, non esclude il diritto di proporre un ricorso avverso una decisione adottata dall’autorità di controllo, ai sensi dell’articolo 78 del RGPD. Questi mezzi di ricorso coesistono autonomamente, senza che l’uno sia sussidiario rispetto all’altro, cosicché essi possono essere esercitati in parallelo ( 20 ). Non si può, quindi, contestare ai ricorrenti di aver agito illecitamente nella difesa dei loro diritti tutelati dal RGPD per aver privilegiato un determinato mezzo di ricorso. Detti argomenti devono pertanto essere respinti.

53.

Alla luce delle considerazioni che precedono, occorre rispondere alla prima questione pregiudiziale che l’articolo 78, paragrafo 1, del RGPD deve essere interpretato nel senso che dalla disposizione di cui trattasi risulta che una decisione giuridicamente vincolante di un’autorità di controllo è soggetta a un controllo giurisdizionale completo nel merito.

54.

Le questioni pregiudiziali dalla seconda alla quinta vertono, sostanzialmente, sulla liceità della conservazione, presso le agenzie di valutazione del credito, di dati personali provenienti da registri pubblici. Le questioni poste dal giudice del rinvio sollevano una serie di problematiche giuridiche legate a detta prassi che devono essere esaminate in maniera strutturata. Per esigenze di chiarezza ritengo opportuno raggruppare le questioni per tema e trattarle in questo ordine.

55.

Al fine di fornire al giudice del rinvio una risposta utile che gli consenta di dirimere la controversia che gli è sottoposta, la Corte è chiamata ad interpretare numerose disposizioni del RGPD che, benché non siano state espressamente toccate nelle questioni, sembrano tuttavia pertinenti. Un siffatto approccio è possibile poiché, secondo una giurisprudenza costante, la Corte può ricavare dal complesso degli elementi forniti dal giudice del rinvio, e segnatamente dalla motivazione della decisione di rinvio, le norme e i principi di diritto dell’Unione che richiedono un’interpretazione tenuto conto dell’oggetto della controversia di cui al procedimento principale ( 21 ).

56.

Una siffatta analisi approfondita mi sembra tanto più necessaria in quanto il giudice del rinvio si riferisce talvolta nelle sue questioni unicamente agli articoli 7 e 8 della Carta, benché, come ha spiegato la Corte, tali disposizioni non debbano essere applicate isolatamente, ma debbano essere prese in considerazione nel quadro del bilanciamento previsto all’articolo 6, paragrafo 1, primo comma, lettera f) del RGPD ( 22 ). Inoltre, in tale contesto, va ricordato che, nella misura in cui le disposizioni del RGPD danno attuazione ai diritti fondamentali di cui trattasi, l’interpretazione del diritto derivato rappresenta logicamente il punto di partenza di ogni esegesi, fermo restando che esso deve essere letto alla luce del diritto primario di cui la Carta fa parte integrante ( 23 ). Integrerò quindi nell’analisi che segue tutte le disposizioni che mi sembrano pertinenti.

57.

Il capo II del RGPD, dal titolo «Principi», sancisce i principi relativi al trattamento dei dati personali. Esaminerò qui a seguire se la prassi delle agenzie di valutazione del credito, consistente nel conservare i dati personali provenienti da registri pubblici per un periodo di tre anni, sia conforme ai principi che mi sembrano essere maggiormente pertinenti nel presente contesto, vale a dire i principi di liceità, di limitazione delle finalità e di minimizzazione dei dati.

58.

Ai fini dell’analisi, mi baserò sulle informazioni fornite dal giudice del rinvio e dalla SCHUFA, sottolineando nel contempo che grava su quest’ultima, quale titolare del trattamento, l’onere di dimostrare che i principi succitati sono stati rispettati conformemente al principio di responsabilizzazione enunciato all’articolo 5, paragrafo 2, del RGPD.

59.

L’articolo 5, paragrafo 1, lettera a), del RGPD esige che i dati personali siano trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Ai sensi dell’articolo 6, paragrafo 1, del RGPD, il trattamento dei dati personali è lecito solo nella misura in cui ricorrono le condizioni di uno dei motivi ivi elencati. Come dichiarato dalla Corte, si tratta di un elenco esaustivo e tassativo dei casi nei quali un siffatto trattamento può essere considerato lecito ( 24 ). Il giudice del rinvio desidera sapere, sostanzialmente, se l’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD autorizzi una società privata di valutazione del credito a conservare dati personali provenienti da registri pubblici al fine di metterli a disposizione di un cliente in caso di richiesta.

60.

Secondo la giurisprudenza della Corte ( 25 ), l’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD prevede tre condizioni cumulative affinché un trattamento di dati personali sia lecito, vale a dire, in primo luogo, il perseguimento di un legittimo interesse del titolare del trattamento o del terzo o dei terzi cui i dati vengono comunicati, in secondo luogo, la necessità del trattamento dei dati personali per il perseguimento del legittimo interesse e, in terzo luogo, la condizione che non prevalgano i diritti fondamentali e le libertà fondamentali dell’interessato dalla tutela dei dati. Benché competa al giudice del rinvio valutare se dette condizioni siano soddisfatte, spetta però alla Corte guidarlo nell’ambito di detta valutazione chiarendo le questioni di diritto sollevate.

61.

Per quanto riguarda, anzitutto, il perseguimento di un «legittimo interesse», ricordo che il RGPD e la giurisprudenza riconoscono un’ampia gamma di interessi considerati come legittimi ( 26 ), pur precisando che, conformemente all’articolo 13, paragrafo 1, lettera d), del RGPD, incombe al titolare del trattamento indicare i legittimi interessi perseguiti ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD.

62.

La SCHUFA sostiene che il trattamento dei dati in questione è finalizzato al perseguimento di interessi legittimi che rivestono una grande importanza. Più nello specifico, le agenzie di valutazione del credito tratterebbero dati necessari alla valutazione della solvibilità di persone o imprese al fine di mettere dette informazioni a disposizione dei loro partner contrattuali. Ciò tutelerebbe anche gli interessi economici delle imprese che intendono concludere contratti collegati all’erogazione di un credito. Inoltre, la determinazione della solvibilità e la fornitura di informazioni su di essa sarebbero alla base dell’attività di credito e della capacità di funzionamento dell’economia. L’attività di dette società contribuirebbe altresì a concretizzare le aspettative commerciali dei soggetti coinvolti in operazioni di credito, poiché le informazioni fornite consentirebbero di procedere a un esame rapido e non burocratico.

63.

Ritengo che non sussista, in linea di principio, alcuna ragione oggettiva per dubitare della legittimità dell’interesse della SCHUFA a fornire ai suoi clienti il servizio commerciale descritto sopra, né dell’interesse dei clienti della SCHUFA a ricorrere ai suoi servizi per valutare la solvibilità di potenziali partner commerciali nel senso indicato. Se è vero che la prestazione di tale tipologia di servizi è finalizzata all’ottenimento di una remunerazione e risponde, quindi, al modello economico di una società privata, ciò non toglie che tale circostanza non è, da sola, sufficiente per mettere in discussione il soddisfacimento, nel caso di specie, della prima condizione di cui all’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD.

64.

Tanto più che l’obiettivo perseguito dal servizio di cui trattasi è, in sostanza, analogo a quello cui il legislatore dell’Unione ha mirato nell’adottare l’articolo 24 del regolamento 2015/848, che impone agli Stati membri di creare e tenere nel loro territorio uno o più registri in cui sono pubblicate informazioni relative alle procedure d’insolvenza. Come risulta dal considerando 76 di detto regolamento, l’obiettivo di tali registri pubblici è di «migliorare la disposizione di informazione nei confronti dei pertinenti creditori e dei giudici, ed evitare l’apertura di procedure d’insolvenza parallele». Mi sembra che il servizio offerto dalla SCHUFA non abbia un obiettivo diverso. La questione se il parallelismo di sistemi possa portare a conflitti di legge sarà esaminato più avanti. In questa fase dell’analisi occorre ritenere che, alla luce di detta identità di obiettivi, il trattamento di dati effettuato dalla SCHUFA deve essere considerato finalizzato a un legittimo interesse ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD.

65.

Per quanto concerne la condizione relativa alla necessità del trattamento dei dati personali per il perseguimento del legittimo interesse, secondo la giurisprudenza della Corte le deroghe e le limitazioni al principio di protezione dei dati personali devono avvenire nei limiti dello stretto necessario ( 27 ). È quindi necessario che sussista uno stretto collegamento tra il trattamento e l’interesse perseguito, in assenza di alternative più rispettose della protezione dei dati personali, poiché non è sufficiente che il trattamento sia di mera utilità per il titolare del trattamento.

66.

Nel caso di specie, occorre dimostrare che l’acquisizione di dati personali relativi all’insolvenza provenienti da registri pubblici e la loro conservazione privata costituiscono la sola possibilità per la SCHUFA di offrire dette informazioni precise ai suoi clienti a fini commerciali. Non si può escludere che la SCHUFA abbia la possibilità di offrire il servizio commerciale e di fornire informazioni sulla solvibilità delle persone ricorrendo ad altri dati disponibili. Compete al giudice del rinvio verificare se detta possibilità consenta ancora alla SCHUFA di offrire utilmente tale servizio commerciale ai suoi clienti.

67.

La SCHUFA considera che il trattamento dei dati è necessario. A suo avviso, per un’agenzia di valutazione del credito sarebbe impossibile fornire informazioni in tempo utile se dovesse attendere una richiesta specifica prima di iniziare a raccogliere i dati. La SCHUFA ritiene che il fatto che i dati sono (anche) accessibili al pubblico per un certo lasso di tempo non incida in alcun modo sugli interessi legittimi delle società di valutazione del credito e nemmeno sulla necessità del trattamento.

68.

Se la conservazione dei dati personali provenienti da registri pubblici non fosse necessaria per consentire alla SCHUFA di offrire il suo servizio commerciale ai suoi clienti, tale trattamento non sarebbe lecito sulla base dell’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD. Per contro, se la seconda condizione della disposizione di cui trattasi fosse soddisfatta, il giudice del rinvio dovrebbe esaminare ancora la terza e ultima condizione cumulativa ivi prevista.

69.

Per quanto riguarda, infine, il contemperamento, da un lato, degli interessi del titolare del trattamento e, dall’altro, degli interessi o dei diritti e delle libertà fondamentali dell’interessato, secondo la giurisprudenza della Corte incombe al giudice del rinvio ponderare gli interessi in gioco ( 28 ). A questo riguardo, le linee guida dell’ex gruppo di lavoro «Articolo 29», divenuto il «Comitato europeo per la protezione dei dati», i cui compiti sono definiti all’articolo 70 del RGPD, elencano i seguenti criteri che devono essere presi in considerazione in sede di bilanciamento: i) la valutazione dell’interesse legittimo del titolare del trattamento; ii) l’impatto sugli interessati; iii) il bilanciamento provvisorio, e iv) le garanzie supplementari applicate dal titolare del trattamento per prevenire ogni impatto ingiustificato sugli interessati ( 29 ). Nell’interesse di un’analisi circostanziata e logica, propongo di applicare detti criteri ai procedimenti principali. Un siffatto approccio contribuirà inoltre a garantire un’applicazione più coerente del RGPD, conformemente agli obiettivi perseguiti dal legislatore dell’Unione.

70.

Per quanto attiene al primo criterio, va osservato che l’interesse, sia della SCHUFA che dei suoi clienti, è di natura puramente economica. Società private conservano dati personali importati da registri pubblici al fine di offrire ai loro clienti il servizio consistente nel fornire informazioni sulla solvibilità dell’interessato servendosi, segnatamente, di tali dati. Come spiegato in precedenza ( 30 ), un siffatto interesse sembra legittimo ai fini della presente analisi.

71.

Per quanto attiene al secondo criterio, vale a dire l’impatto del trattamento sull’interessato, il termine di cancellazione sembra essere il fattore pertinente. Più la durata di conservazione dei dati nelle banche dati delle agenzie di valutazione del credito è lunga, più le conseguenze sull’interessato sono importanti. Nella specie, i dati personali dei ricorrenti nel procedimento principale sono stati trattati nel registro pubblico al fine di «migliorare la disposizione di informazioni nei confronti dei pertinenti creditori e dei giudici, ed evitare l’apertura di procedure d’insolvenza parallele», come richiede il considerando 76 del regolamento 2015/848. All’atto del bilanciamento dei diversi interessi il legislatore tedesco ha quantificato in sei mesi il periodo per il quale la pubblicazione dei dati relativi a una procedura di insolvenza in tali registri era necessaria per perseguire tale obiettivo. La conservazione dei dati personali al di là di detto periodo di sei mesi mi sembra pertanto avere a priori un impatto negativo considerevole sull’interessato.

72.

Dalla giurisprudenza della Corte emerge che esistono altri fattori da prendere in considerazione nel quadro dell’analisi, vale a dire le modalità di accesso alle banche dati e gli strumenti offerti ai fini della diffusione dei dati personali ( 31 ). Per dirla in modo semplice, più le informazioni sono facilmente accessibili al pubblico, più l’ingerenza nei diritti fondamentali dell’interessato è grave. Ciò è particolarmente vero quando il numero di utenti che ha accesso ai dati dell’interessato è elevato ( 32 ). Pertanto, mi sembra evidente che, anche se i dati sono già disponibili nei registri pubblici per un periodo di sei mesi, il fatto che essi siano conservati e disponibili in parallelo nelle banche dati di società private di valutazione del credito ha un impatto aggiuntivo sulla vita privata dell’individuo che va ad aggiungersi alle conseguenze negative della disponibilità di tali dati nei registri succitati.

73.

Un fattore aggiuntivo da prendere in considerazione nell’analisi è il carattere eventualmente sensibile dei dati di cui trattasi ( 33 ). Si può sostenere, in termini generali, che l’impatto sull’interessato aumenta in ragione della sensibilità dei dati personali. A questo riguardo, va osservato che dalla giurisprudenza della Corte risulta che i dati personali relativi al recupero di crediti sono effettivamente dati sensibili per la vita privata dell’interessato ( 34 ). La messa a disposizione di tale tipologia di dati a un numero in linea di principio illimitato di utenti deve, quindi, essere considerato come un’ingerenza importante nei diritti fondamentali di tale persona ( 35 ).

74.

Infine, mi sembra indispensabile considerare anche il fattore tempo. Infatti, anche un trattamento lecito dei dati può, con il tempo, smettere di essere conforme al RGPD quando tali dati non sono più pertinenti o risultano eccessivi alla luce della finalità per la quale erano stati raccolti originariamente. In tale ottica, mi chiedo come la conservazione di dati personali possa essere giustificata per un periodo di tre anni quando il legislatore nazionale ritiene che un periodo di conservazione di sei mesi, vale a dire nettamente più breve, sia ampiamente sufficiente per tener conto degli interessi economici degli operatori commerciali. Osservo che la SCHUFA non è stata in grado di dare una risposta chiara e convincente a tale questione ( 36 ) benché, in forza dell’articolo 5, paragrafo 2, del RGPD, essa sia tenuta a comprovare il rispetto dei principi relativi al trattamento dei dati personali ( 37 ).

75.

Una valutazione di tutti gli elementi menzionati ai paragrafi che precedono mi porta a concludere che le considerevoli conseguenze negative che la conservazione dei dati potrebbe avere sull’interessato una volta concluso il succitato periodo di sei mesi sembrano prevalere sull’interesse commerciale della società privata e dei suoi clienti a conservare i dati dopo tale periodo. In tale contesto, è importante sottolineare che l’esdebitazione concessa è volta a consentire al beneficiario di partecipare nuovamente alla vita economica ( 38 ). Anche i ricorrenti nel procedimento principale e la Commissione hanno sottolineato tale aspetto in udienza. Orbene, tale obiettivo sarebbe ostacolato se le agenzie di valutazione del credito potessero conservare i dati personali nelle loro banche dati dopo che sia intervenuta la loro cancellazione dal registro pubblico.

76.

Infine, per quanto attiene alle garanzie supplementari eventualmente adottate dal titolare del trattamento per prevenire ogni impatto ingiustificato sugli interessati, nulla nella decisione di rinvio o nelle osservazioni della SCHUFA consente di ravvisare garanzie siffatte.

77.

Alla luce delle considerazioni che precedono, ritengo che la conservazione dei dati da parte di un’agenzia privata di valutazione del credito non possa essere considerata lecita sulla base dell’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD a partire dal momento in cui i dati personali relativi a un’insolvenza siano stati cancellati dai pubblici registri.

78.

Per quanto attiene al periodo di sei mesi in cui i dati personali sono parimenti disponibili nei registri pubblici, spetta al giudice del rinvio procedere al bilanciamento dei succitati interessi e impatti sull’interessato al fine di stabilire se la conservazione parallela di tali dati da parte di agenzie private di valutazione del credito sia lecita sulla base dell’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD.

79.

Conformemente al principio della limitazione delle finalità, sancito all’articolo 5, paragrafo 1, lettera b), del RGPD, occorre assicurare che i dati personali raccolti per una finalità non siano trattati in seguito con modalità incompatibili con dette finalità. Nella specie, i dati relativi all’insolvenza e all’esdebitazione sono stati trattati da autorità pubbliche nell’ambito dell’esecuzione di obblighi di legge.

80.

Tuttavia, per quanto attiene all’ulteriore utilizzo dei dati da parte di un’agenzia privata, va verificato se, alla luce del RGPD e in applicazione dei criteri sanciti all’articolo 6, paragrafo 4, di detto regolamento, la finalità perseguita sia compatibile con la finalità iniziale. Le lettere a), b) e d) di detta disposizione sono particolarmente pertinenti nella specie. Esse stabiliscono i seguenti criteri: i) il nesso tra la finalità iniziale e la finalità ulteriore; ii) il contesto in cui i dati sono stati raccolti e, in particolare, la relazione tra l’interessato e il titolare del trattamento, nonché iii) le possibili conseguenze dell’ulteriore trattamento previsto per l’interessato.

81.

In primo luogo, il nesso tra le finalità appare debole già solo per il fatto che la finalità iniziale è prevista ex lege, più precisamente dal diritto dell’Unione, che impone agli Stati membri di creare e tenere dei registri ( 39 ), e che il titolare del trattamento è un’autorità pubblica che agisce nel quadro dei compiti che le sono affidati dalla legge, mentre la finalità ulteriore è perseguita da un soggetto privato nell’ambito di un’attività commerciale che consiste nel fornire informazioni economiche sulle persone.

82.

In secondo luogo, per quanto attiene al contesto nel quale i dati sono stati raccolti, va osservato che non esiste alcun collegamento tra il titolare del trattamento e l’interessato, posto che la raccolta dei dati è compiuta in maniera indiretta attraverso dei registri e l’interessato non è quindi a conoscenza del possibile utilizzo successivo dei suoi dati, né del fine per cui ciò può avvenire. Tale aspetto mi sembra particolarmente grave dal punto di vista della protezione dei dati personali, posto che, in generale, nessuno può ragionevolmente attendersi un trattamento successivo dei dati personali ( 40 ). Il fatto che la legge prescriva una durata determinata per la conservazione dei dati nei pubblici registri può ragionevolmente far pensare che i dati di cui trattasi saranno cancellati alla scadenza di detto periodo.

83.

In terzo luogo, per quanto attiene alle possibili conseguenze che il successivo trattamento dei dati può avere per gli interessati, va sottolineato che le informazioni relative alle procedure di insolvenza saranno sempre utilizzate come un elemento negativo in occasione di una futura valutazione della solvibilità e della capacità di pagamento della persona fisica interessata, con un conseguente impatto significativo sui diritti di quest’ultima. Un’immagine distorta della sua situazione economica può produrre effetti sfavorevoli per l’interessato complicando sensibilmente l’esercizio delle sue libertà o stigmatizzandolo nella società. L’interessato può essere vittima di una discriminazione ingiustificata nella misura in cui può vedersi negati beni e servizi.

84.

Alla luce di questi tre criteri, che devono essere soddisfatti affinché l’utilizzo dei dati personali sia conforme alla finalità iniziale, in linea con quanto richiesto dall’articolo 6, paragrafo 4, del RGPD, dubito che l’utilizzo successivo dei dati di cui trattasi possa essere conforme a tale finalità.

85.

Va poi osservato che, fissando in sei mesi il periodo massimo in cui lo stato di insolvenza e la decisione giudiziaria relativa all’esdebitazione sono oggetto di pubblicazione in presenza delle condizioni di legge, il legislatore nazionale ha già tenuto conto della realizzazione dell’interesse pubblico e bilanciato l’interesse dei creditori, da un lato, e gli interessi e i diritti delle persone insolventi, dall’altro ( 41 ). Il trattamento di dati personali da parte di società private per un periodo sei volte più lungo rispetto a quello previsto dalla legge per i registri pubblici sembra eccessivo e penalizza di fatto l’interessato, benché la legge non preveda chiaramente nulla di simile. Infatti, come ho già osservato, l’esdebitazione è volta a consentire al beneficiario di partecipare nuovamente alla vita economica. Orbene, il raggiungimento di tale obiettivo sarebbe ostacolato se le agenzie di valutazione del credito potessero conservare dati personali nelle loro banche dati dopo che detti dati sono stati cancellati dal registro pubblico ( 42 ). In mancanza di prova contraria, vi è motivo di ritenere che le condizioni di accesso alla banca dati possano essere state pensate nell’intento di aggirare la normativa nazionale adottata dallo Stato membro al fine di adempiere gli obblighi ad esso imposti dal diritto dell’Unione ( 43 ).

86.

Inoltre, mi sembra sproporzionato «riutilizzare» una situazione passata e già definita dal punto di vista giuridico, come l’esdebitazione, nell’ambito di valutazioni future, invece di servirsi di fattori attuali all’atto dell’analisi dei rischi per garantire una valutazione più precisa e oggettiva della situazione economica dell’interessato. Ci si può chiedere, infatti, quale valore abbia un’informazione relativa alla situazione economica di una persona risalente a parecchi anni prima. Dati personali relativi a una circostanza ormai datata non forniscono informazioni affidabili sulla situazione economica attuale dell’interessato. Il legislatore tedesco sembra aver riconosciuto tale problema e averne tratto le corrette conseguenze optando per un periodo di conservazione dei dati considerevolmente più breve.

87.

Infine, il modus operandi delle agenzie di valutazione del credito mi sembra contrastare con il principio della minimizzazione dei dati sancito all’articolo 5, paragrafo 1, lettera c), del RGPD, in forza del quale i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. A questo riguardo occorre effettivamente chiedersi quale senso abbia mettere a disposizione dati personali che sono già accessibili al pubblico nei registri creati dagli Stati membri. Una siffatta attività può, a mio avviso, sfociare piuttosto in una diffusione di informazioni sensibili che non è obbligatoriamente necessaria per rispondere agli interessi economici degli operatori commerciali ( 44 ).

88.

Per le ragioni illustrate sopra, ritengo che la conservazione dei dati di cui trattasi da parte di un’agenzia privata di valutazione del credito non costituisca una prassi conforme ai principi di limitazione delle finalità e di minimizzazione dei dati, sanciti rispettivamente alle lettere b) e c) dell’articolo 5, paragrafo 1, del RGPD.

89.

L’analisi che precede mi porta a concludere che la prassi delle agenzie di valutazione del credito consistente nel conservare i dati personali provenienti da registri pubblici per un periodo di tre anni non è conforme ai principi che disciplinano il trattamento dei dati personali come sanciti nel RGPD. Ciò premesso, va precisato che tale conclusione si fonda su una valutazione dei fatti rimessa, in ultima analisi, al giudice del rinvio chiamato a definire la controversia.

90.

Il giudice del rinvio desidera altresì sapere se il «diritto all’oblio» sancito all’articolo 17 del RGPD implichi che i dati personali siano cancellati dalle banche dati di un’agenzia privata di valutazione del credito esistenti in parallelo ai registri pubblici e contenenti i medesimi dati. Il giudice del rinvio opera una distinzione tra il periodo in cui i dati personali sono disponibili anche nel registro pubblico e il periodo in cui tali dati non sono ivi più disponibili.

91.

L’articolo 17, paragrafo 1, lettera d), del RGPD prevede il diritto assoluto dell’interessato a che i suoi dati personali siano cancellati qualora siano stati trattati illecitamente ( 45 ). Pertanto, se, tenuto conto della conclusione cui sono giunto nella mia analisi ( 46 ), il giudice del rinvio dovesse ritenere che la SCHUFA non abbia potuto trattare i dati personali dei ricorrenti in maniera lecita sulla base dell’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD e non dovesse trovare applicazione nessun altro dei motivi previsti all’articolo 6, paragrafo 1, del RGPD, tale trattamento risulterebbe illecito. In un siffatto caso, la SCHUFA sarebbe tenuta a cancellare i dati personali dei ricorrenti e questi ultimi vanterebbero un diritto in tal senso a prescindere dal fatto che essi abbiano chiesto la cancellazione dei dati prima o dopo la loro cancellazione dal registro pubblico. Un siffatto risultato sembrerebbe conforme anche ai requisiti dell’articolo 5, paragrafo 1, lettera e), del RGPD, a norma del quale i dati personali sono «conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati» (il corsivo è mio).

92.

A questo proposito, desidero richiamare l’attenzione sull’articolo 79, paragrafo 5, del regolamento 2015/848, che evidenzia l’importanza riconosciuta dal legislatore dell’Unione al diritto alla cancellazione, in particolare, quando le autorità trattano dati personali particolarmente sensibili come quelli relativi alla solvibilità degli interessati. Ai sensi della disposizione di cui trattasi, «[n]el quadro dell’informativa agli interessati volta a consentire a questi ultimi di esercitare i loro diritti, in particolare il diritto alla cancellazione dei dati, gli Stati membri informano gli interessati del periodo di accessibilità fissato per i dati personali conservati nei registri fallimentari» (il corsivo è mio). Il legislatore dell’Unione ha evidentemente riconosciuto la necessità di cancellare questa tipologia di dati quando la conservazione non è più giustificata.

93.

Benché le domande di pronuncia pregiudiziale vertano unicamente sull’interpretazione dell’articolo 17, paragrafo 1, lettera d), del RGPD, ritengo che anche la lettera c) di detto paragrafo 1 possa risultare pertinente ai fini dell’emananda sentenza nelle presenti cause, vale a dire laddove il giudice del rinvio dovesse ritenere che, contrariamente alla conclusione cui sono pervenuto sulla base delle informazioni disponibili, la SCHUFA aveva potuto trattare i dati personali dei ricorrenti in maniera lecita in forza dell’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD. La disposizione di cui trattasi prevede il diritto alla cancellazione dei dati personali quando l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, del RGPD e non sussiste alcun motivo legittimo prevalente per procedere al trattamento. La formulazione in esame implica che un «motivo legittimo prevalente per procedere al trattamento» rappresenta un’eccezione rispetto al diritto dell’interessato di opporsi al trattamento ed ottenere la cancellazione dei suoi dati personali. Si presume pertanto che l’interessato disponga di un diritto di opporsi al trattamento e di un diritto alla cancellazione salvo esistano motivi legittimi prevalenti ( 47 ).

94.

Ritengo che, nell’interesse di una protezione effettiva dei dati personali, non dovrebbero sussistere ostacoli significativi all’esercizio del diritto alla cancellazione, segnatamente quando vi sono sul mercato numerose agenzie di valutazione del credito che conservano dati in parallelo al registro pubblico. Se l’esercizio di tale diritto dovesse essere reso eccessivamente difficile a causa di un’interpretazione restrittiva dell’articolo 17, paragrafo 1, del RGPD, la tutela offerta da detto regolamento rischierebbe di essere elusa dai concorrenti. Orbene, va ricordato che il legislatore dell’Unione mirava ad «assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione» (il corsivo è mio), come risulta dal considerando 10 del RGPD. Pertanto, l’interessato deve poter far valere i suoi diritti nei confronti di tutte le società che violano tali norme. Posto che la SCHUFA è solo una delle numerose grandi agenzie di valutazione del credito in Germania, è necessario stabilire se la conservazione dei dati personali in parallelo al registro pubblico costituisca una prassi diffusa tra dette società.

95.

A questo punto dell’analisi, occorre quindi ritenere che i ricorrenti possono, in linea di principio, avvalersi di un diritto alla cancellazione in forza dell’articolo 17, paragrafo 1, del RGPD. L’esito sarebbe diverso soltanto se un’agenzia privata di valutazione del credito fosse riuscita a «dimostr[are] l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato», ai sensi dell’articolo 21, paragrafo 1, del RGPD. Nella misura in cui le informazioni disponibili non consentono di ravvisare i motivi cogenti che potrebbero risultare legittimi nel caso di specie, compete al giudice del rinvio accertare i fatti e procedere, se del caso, a un bilanciamento degli interessi in gioco.

96.

Alla luce delle considerazioni che precedono, l’articolo 17, paragrafo 1, lettera d), del RGPD deve essere interpretato nel senso che l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo quando tali dati sono stati trattati illecitamente ai sensi dell’articolo 6, paragrafo 1, di detto regolamento. L’articolo 17, paragrafo 1, lettera c), del RGPD deve essere interpretato nel senso che l’interessato ha, in linea di principio, il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo quando si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, di detto regolamento. Compete al giudice del rinvio esaminare se sussistano, in via eccezionale, motivi legittimi cogenti per il trattamento.

97.

Il giudice del rinvio desidera altresì sapere se sia conforme al diritto dell’Unione prevedere, in un codice di condotta ai sensi dell’articolo 40 del RGPD, termini di controllo e di cancellazione che eccedono i termini di conservazione previsti per i registri pubblici senza che si renda necessario il bilanciamento di cui all’articolo 6, paragrafo 1, primo comma, lettera f), di detto regolamento.

98.

A questo proposito, occorre osservare anzitutto che, secondo il giudice del rinvio, non esiste attualmente alcuna normativa nazionale che fissi i termini di cancellazione per le banche dati gestite dalle agenzie di valutazione del credito. Tuttavia, le parti interessate sembrerebbero percepire il codice di condotta adottato congiuntamente dalle autorità di controllo e dall’associazione che raggruppa le agenzie di valutazione del credito come una specie di «base giuridica» idonea a legittimare la prassi sopra descritta. Una siffatta percezione mi sembra opinabile in punto di diritto per le ragioni che seguono.

99.

Dal punto di vista giuridico, un siffatto codice di condotta rappresenta solo un impegno volontario di chi lo ha elaborato e adottato, vale a dire dell’associazione succitata e dei suoi membri. Parimenti, il fatto che detto codice di condotta sia stato approvato da un’autorità di controllo significa unicamente che quest’ultima, quale autorità amministrativa, si considera vincolata ad esso. Tuttavia, mi sembra evidente che esso è privo di efficacia vincolante nei confronti dei terzi in ragione del principio «pacta tertiis nec nocent nec prosunt». In caso contrario, ne sarebbero interessate non soltanto le persone fisiche i cui dati sono oggetto di trattamento, ma anche le società che non hanno partecipato all’elaborazione di un siffatto codice di condotta.

100.

Per definizione, un codice di condotta non ha valore normativo in un ordinamento giuridico, ma mira piuttosto a precisare le disposizioni di un atto normativo al fine di agevolarne l’applicazione. Tale interpretazione trova conferma nei paragrafi 1 e 2 dell’articolo 40 del RGPD, da cui risulta che i codici di condotta che devono essere elaborati dalle associazioni e da altre organizzazioni rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento sono destinati, da un lato, «a contribuire alla corretta applicazione» e, dall’altro, a «precisare l’applicazione» di detto regolamento (il corsivo è mio). Pertanto, nella misura in cui la funzione del codice di condotta di cui trattasi è limitata a garantire la corretta applicazione del RGPD in un determinato settore, esso non può rappresentare, da solo, il fondamento giuridico che giustifica il trattamento dei dati personali ( 48 ).

101.

Il fondamento giuridico che giustifica un siffatto trattamento può essere rinvenuto unicamente nell’articolo 6 del RGPD o, in presenza di una clausola di apertura applicabile, nel diritto nazionale. Ho già osservato nelle presenti conclusioni che l’articolo 6 del RGPD prevede un elenco esaustivo e tassativo dei casi nei quali un trattamento dei dati personali può essere considerato lecito ( 49 ). Pertanto, le regole del codice di condotta non possono comportare un ampliamento di detto elenco senza violare nel contempo il diritto dell’Unione.

102.

Orbene, mi sembra che proprio ciò accada quando, come nel caso di specie, dette regole impongono alle agenzie di valutazione del credito di conservare i dati degli interessati per un periodo di tre anni, vale a dire per un periodo prolungato che non può essere giustificato alla luce dei principi che disciplinano il trattamento dei dati personali sanciti dal RGPD. Più nello specifico, come ho già mostrato nell’ambito della mia analisi, la conservazione di tali dati non può essere considerata lecita sulla base dell’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD per il periodo che segue la cancellazione dei dati relativi a un’insolvenza dai registri pubblici ( 50 ).

103.

A questo punto dell’analisi, si deve pertanto ritenere che codici di condotta che portino a un esito diverso da quello che sarebbe stato ottenuto in applicazione dell’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD non possono essere presi in considerazione nel bilanciamento compiuto in forza di detta disposizione. Quali «titolar[i] del trattamento» ai sensi dell’articolo 4, punto 7, del RGPD, le agenzie di valutazione del credito non possono trincerarsi dietro le regole del codice di condotta che esse stesse hanno elaborato per validamente sottrarsi agli obblighi derivanti a loro carico da tale regolamento.

104.

Alla luce delle considerazioni che precedono, ritengo che l’articolo 40, paragrafi 2 e 5, del RGPD debba essere interpretato nel senso che codici di condotta elaborati ai sensi delle disposizioni di cui trattasi ed eventualmente approvati dall’autorità di controllo non possono stabilire in maniera giuridicamente vincolante condizioni di un trattamento lecito di dati personali diverse da quelle definite all’articolo 6, paragrafo 1, del RGPD.

105.

Alla luce delle considerazioni che precedono, propongo alla Corte di rispondere nei seguenti termini alle questioni pregiudiziali proposte dal Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden, Germania):