–

per il Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos, da G. Aleksienė;

–

per la Valstybinė duomenų apsaugos inspekcija, da R. Andrijauskas;

–

per il governo lituano, da V. Kazlauskaitė-Švenčionienė, in qualità di agente;

–

per il governo dei Paesi Bassi, da C.S. Schillemans, in qualità di agente;

–

per il Consiglio dell’Unione europea, da R. Liudvinavičiūtė e K. Pleśniak, in qualità di agenti;

–

per la Commissione europea, da A. Bouchagiar, H. Kranenborg e A. Steiblytė, in qualità di agenti,

1

La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 4, punti 2 e 7, dell’articolo 26, paragrafo 1, e dell’articolo 83, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).

2

Tale domanda è stata presentata nell’ambito di una controversia tra il Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (Centro nazionale per la sanità pubblica presso il Ministero della Sanità, Lituania; in prosieguo: il «CNSP») e la Valstybinė duomenų apsaugos inspekcija (Ispettorato nazionale per la protezione dei dati, Lituania; in prosieguo: l’«INPD») in merito a una decisione con la quale quest’ultima ha inflitto al CNSP una sanzione amministrativa pecuniaria in applicazione dell’articolo 83 del RGPD per violazione degli articoli 5, 13, 24, 32 e 35 di tale regolamento.

3

I considerando 9, 10, 11, 13, 26, 74, 79, 129 e 148 di tale regolamento così recitano:

(...)

(...)

(...)

(...)

(...)

(...)

4

A tenore dell’articolo 4 del medesimo regolamento:

«Ai fini del presente regolamento s’intende per:

(...)

(...)

(...)».

5

L’articolo 26 di detto regolamento, intitolato «Contitolari del trattamento», al paragrafo 1 enuncia quanto segue:

«Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati».

6

L’articolo 28 dello stesso regolamento, intitolato «Responsabile del trattamento», al paragrafo 10 è così formulato:

«Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione».

7

L’articolo 58 del RGPD, dal titolo «Poteri», enuncia, al paragrafo 2, quanto segue:

«Ogni autorità di controllo ha tutti i poteri correttivi seguenti:

(...)

(...)

(...)

(...)».

8

L’articolo 83 di tale regolamento, intitolato «Condizioni generali per infliggere sanzioni amministrative pecuniarie», prevede quanto segue:

«1.   Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive.

2.   Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all’articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:

3.   Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave.

(4)   In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10000000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;

(...)

(5)   In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20000000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

(...)

(...)

(6)   In conformità del paragrafo 2 del presente articolo, l’inosservanza di un ordine da parte dell’autorità di controllo di cui all’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20000000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

7.   Fatti salvi i poteri correttivi delle autorità di controllo a norma dell’articolo 58, paragrafo 2, ogni Stato membro può prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici istituiti in tale Stato membro.

8.   L’esercizio da parte dell’autorità di controllo dei poteri attribuitile dal presente articolo è soggetto a garanzie procedurali adeguate in conformità del diritto dell’Unione e degli Stati membri, inclusi il ricorso giurisdizionale effettivo e il giusto processo.

(...)».

9

L’articolo 84 del regolamento di cui trattasi al paragrafo 1 così dispone:

«Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive».

10

L’articolo 29, paragrafo 3, del Viešťjų pirkimų įstatymas (legge sugli appalti pubblici) menziona talune circostanze in cui l’amministrazione aggiudicatrice ha o il diritto, o l’obbligo, di revocare le procedure di gara d’appalto o di concorso avviate di propria iniziativa e in qualsiasi momento prima della conclusione dell’appalto pubblico (o del contratto preliminare) o dell’individuazione del vincitore del concorso.

11

L’articolo 72, paragrafo 2, della legge relativa agli appalti pubblici prevede le fasi dei negoziati che l’amministrazione aggiudicatrice conduce nell’ambito di una procedura negoziata di appalto pubblico senza previa pubblicazione.

12

Nel contesto della pandemia provocata dal virus della COVID-19, il Lietuvos Respublikos sveikatos apsaugos ministras (Ministro della Sanità della Repubblica di Lituania), con una prima decisione del 24 marzo 2020, ha incaricato il direttore del CNSP di organizzare l’acquisizione immediata di un sistema informatico ai fini della registrazione e del monitoraggio dei dati delle persone esposte a tale virus, a fini di monitoraggio epidemiologico.

13

Il 27 marzo 2020, una persona qualificatasi come rappresentante del CNSP (in prosieguo: «A.S.») comunicava alla società UAB «IT sprendimai sėkmei» (in prosieguo: la «società ITSS») che detta società era stata selezionata dal CNSP per creare un’applicazione mobile a tal fine. A.S. ha successivamente inviato alla società ITSS messaggi di posta elettronica riguardanti diversi aspetti della creazione di tale applicazione con copia di tali messaggi inviata al direttore del CNSP.

14

Nel corso delle trattative tra la società ITSS e il CNSP, oltre a A.S., anche altri dipendenti del CNSP hanno inviato messaggi di posta elettronica a tale società in merito alla redazione delle domande poste nell’applicazione mobile di cui trattasi.

15

Al momento della creazione di tale applicazione mobile, è stata elaborata una politica di tutela della vita privata, in cui la società ITSS e il CNSP sono stati designati responsabili del trattamento.

16

L’applicazione mobile in questione, che menzionava la società ITSS e il CNSP, era disponibile, per essere scaricata, nel negozio online Google Play Store a partire dal 4 aprile 2020 e nel negozio online Apple App Store a partire dal 6 aprile 2020. Essa è stata operativa fino al 26 maggio 2020.

17

Tra il 4 aprile 2020 e il 26 maggio 2020, 3802 persone si sono avvalse di tale applicazione e hanno fornito i dati che le riguardavano, richiesti da detta applicazione, quali il numero d’identità, le coordinate geografiche (latitudine e longitudine), il paese, la città, il comune, il codice postale, il nome della strada, il numero civico, il cognome, il nome, il codice personale, il numero di telefono e l’indirizzo.

18

Con una seconda decisione del 10 aprile 2020, il Ministro della Sanità della Repubblica di Lituania ha deciso di affidare al direttore del CNSP il compito di organizzare l’acquisizione dell’applicazione mobile in questione presso la società ITSS e, a tal fine, è stato previsto di ricorrere all’articolo 72, paragrafo 2, della legge relativa agli appalti pubblici. Tuttavia, non è stato aggiudicato a tale società nessun appalto pubblico avente ad oggetto l’acquisizione ufficiale di tale applicazione da parte del CNSP.

19

In effetti, il 15 maggio 2020, il CNSP ha chiesto a tale società di non menzionarlo in alcun modo nell’applicazione mobile di cui trattasi. Inoltre, con lettera del 4 giugno 2020, il CNSP ha comunicato a detta stessa società che, a causa del mancato finanziamento dell’acquisizione di tale applicazione, aveva posto fine, conformemente all’articolo 29, paragrafo 3, della legge relativa agli appalti pubblici, alla procedura relativa a tale acquisizione.

20

Nell’ambito di un’indagine relativa al trattamento dei dati personali avviata il 18 maggio 2020, l’INPD ha accertato che mediante l’applicazione mobile in questione erano stati raccolti dati personali. Inoltre, è stato constatato che gli utenti che avevano scelto tale applicazione come metodo di monitoraggio dell’isolamento reso obbligatorio a causa della pandemia di COVID-19 avevano risposto a domande che comportavano il trattamento di dati personali. Tali dati sarebbero stati forniti nelle risposte ai quesiti posti mediante detta applicazione e vertevano, in particolare, sullo stato di salute dell’interessato e sul rispetto, da parte di quest’ultimo, delle condizioni di isolamento.

21

Con decisione del 24 febbraio 2021, l’INPD ha inflitto al CNSP una sanzione amministrativa pecuniaria di EUR 12000 in applicazione dell’articolo 83 del RGPD, in considerazione della violazione da parte del CNSP degli articoli 5, 13, 24, 32 e 35 di tale regolamento. Con tale decisione è stata inflitta anche alla società ITSS, in qualità di contitolare del trattamento, una sanzione amministrativa pecuniaria di EUR 3000.

22

Il CNSP ha impugnato tale decisione dinanzi al Vilniaus apygardos administracinis teismas (Tribunale amministrativo regionale di Vilnius, Lituania), che è il giudice del rinvio, facendo valere che è la società ITSS a dover essere considerata il solo titolare del trattamento, ai sensi dell’articolo 4, punto 7, del RGPD. Dal canto suo, la società ITSS sostiene di aver agito in qualità di responsabile del trattamento, ai sensi dell’articolo 4, punto 8, del RGPD, su istruzione del CNSP, il quale, a suo avviso, è l’unico titolare del trattamento.

23

Il giudice del rinvio rileva che la società ITSS ha creato l’applicazione mobile di cui trattasi e che il CNSP l’ha consigliata sul contenuto delle questioni poste mediante tale applicazione. Tuttavia, non esisterebbe alcun contratto di appalto pubblico tra il CNSP e la società ITSS. Inoltre, il CNSP non avrebbe acconsentito alla messa a disposizione di tale applicazione mediante diversi negozi online, né l’avrebbe autorizzata.

24

Tale giudice precisa che la creazione dell’applicazione mobile in questione mirava ad attuare l’obiettivo assegnato dal CNSP, ossia la gestione della pandemia di COVID-19 mediante la creazione di uno strumento informatico, e che il trattamento dei dati personali era previsto a tal fine. Per quanto riguarda il ruolo della società ITSS, non sarebbe stato previsto che tale società perseguisse obiettivi diversi da quello di ricevere una remunerazione per il prodotto informatico creato.

25

Detto giudice osserva altresì che, durante l’indagine dell’INPD, è stato accertato che la società lituana Juvare Lithuania, amministratrice del sistema informatico di monitoraggio e di controllo delle malattie trasmissibili che presentano un rischio di propagazione, doveva ricevere le copie dei dati personali raccolti dall’applicazione mobile di cui trattasi. Inoltre, al fine di testare quest’ultima, sono stati utilizzati dati fittizi, ad eccezione dei numeri di telefono dei dipendenti di detta società.

26

Alla luce delle suddette considerazioni, il Vilniaus apygardos administracinis teismas (Tribunale amministrativo regionale, Vilnius) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

27

Con le sue questioni prima, seconda e terza, che è opportuno esaminare congiuntamente, il giudice del rinvio chiede, in sostanza, se l’articolo 4, punto 7, del RGPD debba essere interpretato nel senso che può essere considerato titolare del trattamento, ai sensi di tale disposizione, un ente che ha incaricato un’impresa di sviluppare un’applicazione informatica mobile, sebbene tale ente non abbia effettuato esso stesso operazioni di trattamento di dati personali, non abbia dato esplicitamente il suo assenso alla realizzazione delle operazioni concrete di un trattamento siffatto o alla messa a disposizione del pubblico di tale applicazione mobile e non abbia acquisito detta applicazione mobile.

28

L’articolo 4, punto 7, del RGPD definisce in modo ampio la nozione di «titolare del trattamento» inteso come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, «determina le finalità e i mezzi del trattamento» di dati personali.

29

L’obiettivo di tale ampia definizione è, conformemente a quello del RGPD, quello di assicurare un’efficace protezione dei diritti e delle libertà fondamentali delle persone fisiche, nonché, segnatamente, garantire un elevato livello di protezione del diritto di qualsiasi persona alla tutela dei dati personali che la riguardano (v., in tal senso, sentenze del 29 luglio 2019, Fashion ID, C‑40/17, EU:C:2019:629, punto 66, e del 28 aprile 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punto 73, e la giurisprudenza ivi citata).

30

La Corte ha già dichiarato che qualsiasi persona fisica o giuridica che influisca, per fini che le sono propri, sul trattamento di tali dati e partecipi pertanto alla determinazione delle finalità e dei mezzi di tale trattamento può essere considerata titolare di detto trattamento. A tal riguardo, non è necessario che le finalità e i mezzi del trattamento siano determinati mediante orientamenti scritti o istruzioni da parte del titolare del trattamento (v., in tal senso, sentenza del 10 luglio 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punti 67 e 68), né che quest’ultimo sia stato formalmente designato come tale.

31

Pertanto, per stabilire se un ente, come il CNSP, possa essere considerato titolare del trattamento ai sensi dell’articolo 4, punto 7, del RGPD, occorre esaminare se esso abbia effettivamente influito, a fini che gli sono propri, sulla determinazione delle finalità e dei mezzi di tale trattamento.

32

Nel caso di specie, fatte salve le verifiche che spetta al giudice del rinvio effettuare, dal fascicolo di cui dispone la Corte risulta che la creazione dell’applicazione mobile in questione era stata commissionata dal CNSP e mirava a realizzare l’obiettivo assegnato da quest’ultimo, ossia la gestione della pandemia di COVID-19 mediante uno strumento informatico ai fini della registrazione e del monitoraggio dei dati delle persone esposte al virus della COVID-19. Il CNSP aveva previsto a tal fine che fossero trattati i dati personali degli utenti dell’applicazione mobile in questione. Dalla decisione di rinvio risulta inoltre che i parametri di tale applicazione, quali le questioni poste e la loro formulazione, sono stati adattati alle esigenze del CNSP e che quest’ultimo ha svolto un ruolo attivo nella loro determinazione.

33

In tali circostanze, si deve ritenere, in linea di principio, che il CNSP abbia effettivamente partecipato alla determinazione delle finalità e dei mezzi del trattamento.

34

Per contro, il semplice fatto che il CNSP sia stato menzionato quale responsabile del trattamento nell’informativa per la protezione della vita privata dell’applicazione mobile di cui trattasi e che siano stati inclusi link verso tale entità in tale applicazione potrebbe essere considerato rilevante unicamente a condizione che sia dimostrato che il CNSP ha acconsentito, in modo espresso o implicito, a tale menzione o a tali link.

35

Inoltre, le circostanze menzionate dal giudice del rinvio nell’ambito delle considerazioni a sostegno delle sue prime tre questioni pregiudiziali, vale a dire che il CNSP non trattava direttamente alcun dato personale, che non esisteva alcun contratto tra il CNSP e la società ITSS, che il CNSP non ha acquistato l’applicazione mobile in questione o che la distribuzione di tale applicazione attraverso negozi online non è stata autorizzata dal CNSP, non ostano a che il CNSP sia qualificato come «titolare del trattamento» ai sensi dell’articolo 4, punto 7, del RGPD.

36

Da tale disposizione, letta alla luce del considerando 74 del RGPD, risulta, infatti, che un ente, qualora soddisfi la condizione posta da detto articolo 4, punto 7, è titolare non solo di qualsiasi trattamento di dati personali che esso stesso effettua, ma anche di quello effettuato per suo conto.

37

A tal riguardo, occorre tuttavia precisare che il CNSP non può essere considerato il titolare del trattamento dei dati personali risultanti dalla messa a disposizione del pubblico dell’applicazione mobile di cui trattasi se, prima di tale messa a disposizione, si è espressamente opposto a quest’ultima, circostanza che spetta al giudice del rinvio verificare. In un’ipotesi del genere, infatti, non si può ritenere che il trattamento in questione sia stato effettuato per conto del CNSP.

38

Alla luce dei motivi che precedono, occorre rispondere alle questioni prima, seconda e terza dichiarando che l’articolo 4, punto 7, del RGPD deve essere interpretato nel senso che può essere considerato titolare del trattamento, ai sensi di tale disposizione, un ente che ha incaricato un’impresa di sviluppare un’applicazione informatica mobile e che, in tale contesto, ha partecipato alla determinazione delle finalità e dei mezzi del trattamento dei dati personali effettuato mediante tale applicazione, anche se tale ente non ha proceduto, esso stesso, a operazioni di trattamento di tali dati, non ha dato esplicitamente il proprio consenso alla realizzazione delle operazioni concrete di un siffatto trattamento o alla messa a disposizione del pubblico di detta applicazione mobile e non ha acquisito quella stessa applicazione mobile, salvo che, prima di tale messa a disposizione nei confronti del pubblico, il suddetto ente si sia espressamente opposto ad essa e al trattamento dei dati personali che ne è derivato.

39

Con la quinta questione, che è opportuno esaminare in secondo luogo, il giudice del rinvio chiede, in sostanza, se l’articolo 4, punto 7, e l’articolo 26, paragrafo 1, del RGPD debbano essere interpretati nel senso che la qualificazione di due enti come contitolari del trattamento presuppone l’esistenza di un accordo tra tali enti sulla determinazione delle finalità e dei mezzi del trattamento dei dati personali in questione o l’esistenza di un accordo che stabilisca le condizioni relative alla contitolarità del trattamento.

40

Ai sensi dell’articolo 26, paragrafo 1, del RGPD, si hanno «contitolari del trattamento» allorché due o più titolari determinano congiuntamente le finalità e i mezzi del trattamento.

41

Come dichiarato dalla Corte, per poter essere considerata contitolare del trattamento, una persona fisica o giuridica deve quindi rispondere in modo indipendente alla definizione di «titolare del trattamento» di cui all’articolo 4, punto 7, del RGPD (v., in tal senso, sentenza del 29 luglio 2019, Fashion ID, C‑40/17, EU:C:2019:629, punto 74).

42

Tuttavia, l’esistenza di una contitolarità non si traduce necessariamente in una responsabilità equivalente dei diversi operatori interessati da un trattamento di dati personali. Al contrario, tali soggetti possono essere coinvolti in fasi diverse di tale trattamento e a diversi livelli, di modo che il grado di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze rilevanti del caso di specie (sentenza del 5 giugno 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punto 43). Inoltre, la responsabilità congiunta di vari soggetti per un medesimo trattamento non richiede che ciascuno di essi abbia accesso ai dati personali in questione (sentenza del 10 luglio 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punto 69 e giurisprudenza citata).

43

Come rilevato dall’avvocato generale al paragrafo 38 delle sue conclusioni, la partecipazione alla determinazione delle finalità e dei mezzi del trattamento può assumere forme diverse, potendo tale partecipazione risultare sia da una decisione comune adottata da due o più soggetti sia da decisioni convergenti di tali soggetti. Orbene, in quest’ultimo caso, dette decisioni devono integrarsi, di modo che ciascuna di esse abbia un effetto concreto sulla determinazione delle finalità e dei mezzi del trattamento.

44

Per contro, non si può esigere che esista un accordo formale tra tali titolari del trattamento quanto alle finalità e ai mezzi del trattamento.

45

È vero che, in forza dell’articolo 26, paragrafo 1, del RGPD, letto alla luce del considerando 79 di quest’ultimo, i contitolari del trattamento devono, mediante accordo tra loro, definire in modo trasparente i loro rispettivi obblighi al fine di garantire il rispetto dei requisiti di tale regolamento. Tuttavia, l’esistenza di un siffatto accordo costituisce non una condizione previa affinché due o più entità siano qualificate come contitolari del trattamento, bensì un obbligo che tale articolo 26, paragrafo 1, impone ai contitolari del trattamento, una volta qualificati come tali, al fine di garantire il rispetto dei requisiti del RGPD gravanti su di essi. Pertanto, tale qualificazione deriva dal solo fatto che molteplici enti hanno partecipato alla determinazione delle finalità e dei mezzi del trattamento.

46

Alla luce dei motivi che precedono, occorre rispondere alla quinta questione dichiarando che l’articolo 4, punto 7, e l’articolo 26, paragrafo 1, del RGPD devono essere interpretati nel senso che la qualificazione di due enti come contitolari del trattamento non presuppone né l’esistenza di un accordo tra di essi sulla determinazione delle finalità e dei mezzi del trattamento dei dati personali di cui trattasi né l’esistenza di un accordo che fissi le condizioni relative alla contitolarità del trattamento.

47

Con la sua quarta questione, il giudice del rinvio chiede, in sostanza, se l’articolo 4, punto 2, del RGPD debba essere interpretato nel senso che costituisce un «trattamento», ai sensi di tale disposizione, l’uso di dati personali a fini di test informatici di un’applicazione mobile.

48

Nel caso di specie, come risulta dal punto 25 della presente sentenza, la società lituana che gestiva il sistema informatico di monitoraggio e di controllo delle malattie trasmissibili che presentavano un rischio di propagazione doveva ricevere le copie dei dati personali raccolti dall’applicazione mobile di cui trattasi. A fini di test informatici, sono stati utilizzati dati fittizi, ad eccezione dei numeri di telefono dei dipendenti di detta società.

49

A tal riguardo, in primo luogo, l’articolo 4, punto 2, del RGPD definisce la nozione di «trattamento» come «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali». In un elenco non tassativo, introdotto dalla locuzione «come», tale disposizione menziona, quali esempi di trattamento, la raccolta, la messa a disposizione e l’uso di dati personali.

50

Dalla formulazione di tale disposizione, in particolare dall’espressione «qualsiasi operazione», risulta che il legislatore dell’Unione ha inteso attribuire alla nozione di «trattamento» una portata ampia [v., in tal senso, sentenza del 24 febbraio 2022, Valsts ieņēmumu dienests (Trattamento dei dati personali a fini fiscali), C‑175/20, EU:C:2022:124, punto 35] e che le ragioni per le quali un’operazione o un insieme di operazioni sono effettuate non possono essere prese in considerazione per determinare se tale operazione o tale insieme di operazioni costituisca un «trattamento» ai sensi dell’articolo 4, punto 2, del RGPD.

51

Pertanto, la questione se dati personali siano utilizzati ai fini di test informatici o per un altro fine non incide sulla qualificazione dell’operazione di cui trattasi come «trattamento», ai sensi dell’articolo 4, punto 2, del RGPD.

52

In secondo luogo, occorre tuttavia precisare che solo un trattamento che riguarda «dati personali» costituisce un «trattamento», ai sensi dell’articolo 4, punto 2, del RGPD.

53

L’articolo 4, punto 1, del RGPD precisa che per «dato personale» si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile», ossia «persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale».

54

Orbene, la circostanza, cui fa riferimento il giudice del rinvio nella sua quarta questione, che si tratta di «copie di dati personali», in quanto tale, non è tale da negare a tali copie la qualificazione di dati personali, ai sensi dell’articolo 4, punto 1, del RGPD, sempre che siffatte copie contengano effettivamente informazioni riferentisi a una persona fisica identificata o identificabile.

55

Occorre tuttavia constatare che dati fittizi, riferendosi non a una persona fisica identificata o identificabile, bensì a una persona che, in realtà, non esiste, non costituiscono dati personali, ai sensi dell’articolo 4, punto 1, del RGPD.

56

Lo stesso vale per quanto riguarda dati utilizzati a fini di test informatici che sono anonimi o sono resi anonimi.

57

Infatti, dal considerando 26 del RGPD nonché dalla definizione stessa della nozione di «dato personale», fornita dall’articolo 4, punto 1, di tale regolamento, risulta che non rientrano in tale nozione le «informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile», né i «dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato».

58

Per contro, dall’articolo 4, punto 5, del RGPD, in combinato disposto con tale considerando 26 di tale regolamento, risulta che i dati personali che sono stati soltanto oggetto di pseudonimizzazione e che potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di informazioni supplementari devono essere considerati informazioni su una persona fisica identificabile, ai quali si applicano i principi relativi alla protezione dei dati.

59

Alla luce dei motivi che precedono, occorre rispondere alla quarta questione dichiarando che l’articolo 4, punto 2, del RGPD deve essere interpretato nel senso che costituisce un «trattamento», ai sensi di tale disposizione, l’uso di dati personali a fini di test informatici di un’applicazione mobile, salvo che tali dati siano stati resi anonimi in modo da impedire o da non consentire più l’identificazione dell’interessato o che si tratti di dati fittizi che non si riferiscono a una persona fisica esistente.

60

Con la sua sesta questione, il giudice del rinvio chiede, in sostanza, se l’articolo 83 del RGPD debba essere interpretato nel senso che, da un lato, una sanzione amministrativa pecuniaria può essere inflitta in applicazione di tale disposizione unicamente nel caso in cui sia accertato che il titolare del trattamento ha commesso, con dolo o colpa, una violazione di cui ai paragrafi da 4 a 6 di tale articolo e, dall’altro, siffatta sanzione pecuniaria può essere inflitta a un titolare del trattamento per quanto riguarda le operazioni di trattamento effettuate da un responsabile del trattamento per conto del titolare dello stesso.

61

Per quanto riguarda, in primo luogo, la questione se una sanzione amministrativa pecuniaria possa essere inflitta in applicazione dell’articolo 83 del RGPD solo nel caso in cui sia accertato che il titolare del trattamento o il responsabile del trattamento ha commesso, con dolo o colpa, una violazione di cui ai paragrafi da 4 a 6 di tale articolo, dal paragrafo 1 di detto articolo risulta che tali sanzioni devono essere effettive, proporzionate e dissuasive. Per contro, l’articolo 83 del RGPD non precisa espressamente che una violazione siffatta possa essere sanzionata con una sanzione del genere solo se essa sia stata commessa con dolo o, quanto meno, con colpa.

62

Il governo lituano e il Consiglio dell’Unione europea da ciò deducono che il legislatore dell’Unione ha inteso lasciare agli Stati membri un certo margine di discrezionalità nell’attuazione dell’articolo 83 del RGPD, consentendo loro di prevedere l’irrogazione di sanzioni amministrative pecuniarie in applicazione di tale disposizione, se del caso, senza che sia accertato che la violazione del RGPD oggetto di tale sanzione sia stata commessa con dolo o colpa.

63

Siffatta interpretazione dell’articolo 83 del RGPD non può essere accolta.

64

A tal riguardo, occorre ricordare che, in forza dell’articolo 288 TFUE, le disposizioni dei regolamenti producono, in generale, un effetto immediato negli ordinamenti giuridici nazionali, senza che le autorità nazionali abbiano bisogno di adottare misure di applicazione. Nondimeno, alcune disposizioni possono richiedere, per la loro attuazione, l’adozione di misure di applicazione da parte degli Stati membri (v., in tal senso, sentenza del 28 aprile 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punto 58 e giurisprudenza ivi citata).

65

Tale ipotesi ricorre in particolare nel caso del RGPD, alcune disposizioni del quale offrono agli Stati membri la possibilità di prevedere norme nazionali supplementari, più rigorose o a carattere derogatorio, che lasciano ad essi un margine di discrezionalità circa il modo in cui tali disposizioni possono essere attuate (sentenza del 28 aprile 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, paragrafo 57).

66

Analogamente, in assenza di norme procedurali specifiche nel RGPD, spetta all’ordinamento giuridico di ciascuno Stato membro stabilire, nel rispetto dei principi di equivalenza e di effettività, le modalità delle azioni volte a garantire la salvaguardia dei diritti che i singoli traggono dalle disposizioni di tale regolamento [v., in tal senso, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C‑300/21 EU:C:2023:370, punti 53 e 54, nonché la giurisprudenza ivi citata].

67

Tuttavia, nulla nella formulazione dell’articolo 83, paragrafi da 1 a 6, del RGPD consente di ritenere che il legislatore dell’Unione abbia inteso lasciare un margine di discrezionalità agli Stati membri per quanto riguarda le condizioni sostanziali che devono essere rispettate da un’autorità di controllo quando quest’ultima decide di infliggere una sanzione amministrativa pecuniaria al titolare del trattamento per una violazione di cui ai paragrafi da 4 a 6 di tale articolo.

68

È vero che, da un lato, ai sensi dell’articolo 83, paragrafo 7, del RGPD ogni Stato membro può prevedere norme che stabiliscano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici stabiliti in tale Stato membro. Dall’altro lato, dall’articolo 83, paragrafo 8, di tale regolamento, letto alla luce del considerando 129 di quest’ultimo, risulta che l’esercizio, da parte dell’autorità di controllo, dei poteri attribuitile da tale articolo è soggetto a garanzie procedurali adeguate in conformità del diritto dell’Unione e degli Stati membri, inclusi il ricorso giurisdizionale effettivo e il giusto processo.

69

Tuttavia, il fatto che detto regolamento offra agli Stati membri la possibilità di stabilire eccezioni in relazione alle autorità pubbliche e agli organismi pubblici stabiliti nel loro territorio e requisiti relativi alla procedura che le autorità di controllo devono seguire nell’irrogare una sanzione amministrativa pecuniaria non significa in alcun modo che tali Stati possano anche stabilire, oltre a tali eccezioni e requisiti procedurali, condizioni sostanziali che devono essere soddisfatte per far sorgere la responsabilità del titolare del trattamento responsabile e imporgli una sanzione amministrativa pecuniaria ai sensi dell’articolo 83. Inoltre, il fatto che il legislatore dell’Unione si sia preoccupato di prevedere espressamente tale possibilità ma non quella di prevedere siffatte condizioni sostanziali conferma che non ha lasciato agli Stati membri un margine di discrezionalità al riguardo.

70

Tale constatazione è altresì corroborata da una lettura congiunta degli articoli 83 e 84 del RGPD. L’articolo 84, paragrafo 1, di tale regolamento ammette, infatti, che gli Stati membri conservano la competenza a determinare il regime delle «altre sanzioni per le violazioni» di tale regolamento, «in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83». Da una siffatta lettura congiunta di tali disposizioni risulta quindi che esula da tale competenza la determinazione delle condizioni sostanziali che consentano di infliggere siffatte sanzioni amministrative pecuniarie. Dette condizioni rientrano pertanto unicamente nell’ambito del diritto dell’Unione.

71

Per quanto riguarda dette condizioni, occorre rilevare che l’articolo 83, paragrafo 2, del RGPD elenca gli elementi in base ai quali l’autorità di controllo infligge una sanzione amministrativa pecuniaria al titolare del trattamento. Tra tali elementi compare, alla lettera b) di tale disposizione, «il carattere doloso o colposo della violazione». Per contro, nessuno degli elementi elencati in detta disposizione menziona una qualsiasi possibilità che la responsabilità del titolare del trattamento sorga in assenza di un suo comportamento colpevole.

72

Occorre, inoltre, leggere l’articolo 83, paragrafo 2, del RGPD, in combinato disposto con il paragrafo 3 del medesimo articolo, il cui scopo è prevedere le conseguenze dei casi di cumulo di violazioni di tale regolamento e ai sensi del quale «[s]e, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

73

Dalla formulazione dell’articolo 83, paragrafo 2, del RGPD emerge quindi che solo le violazioni delle disposizioni di tale regolamento commesse colpevolmente dal titolare del trattamento, ossia quelle commesse con dolo o colpa, possono condurre all’irrogazione a quest’ultimo di una sanzione amministrativa pecuniaria in applicazione di tale articolo.

74

L’economia generale e la finalità del RGPD corroborano tale interpretazione.

75

Da un lato, il legislatore dell’Unione ha previsto un sistema di sanzioni che consente alle autorità di controllo di imporre le sanzioni più appropriate a seconda delle circostanze di ciascun caso.

76

L’articolo 58 del RGPD, che fissa i poteri delle autorità di controllo, prevede, infatti, al paragrafo 2, lettera i), che tali autorità possono imporre le sanzioni amministrative pecuniarie, in applicazione dell’articolo 83 di tale regolamento, «in aggiunta»«o in luogo» delle altre misure correttive elencate in tale articolo 58, paragrafo 2, quali avvertimenti, richiami all’ordine o ingiunzioni. Allo stesso modo, il considerando 148 di detto regolamento enuncia in particolare che è consentito alle autorità di controllo, nel caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisca un onere sproporzionato per una persona fisica, di astenersi dall’imporre una sanzione pecuniaria e di rivolgere, in suo luogo, un richiamo all’ordine.

77

Dall’altro lato, dal considerando 10 del RGPD risulta, in particolare, che le disposizioni di quest’ultimo hanno, in particolare, l’obiettivo di assicurare un livello coerente ed elevato di protezione delle persone fisiche con riguardo al trattamento dei dati personali all’interno dell’Unione e di assicurare, a tal fine, un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. I considerando 11 e 129 del RGPD sottolineano, inoltre, la necessità, al fine di garantire un’applicazione coerente di tale regolamento, di vegliare a che le autorità di controllo dispongano di poteri equivalenti di sorveglianza e di controllo del rispetto delle norme relative alla protezione dei dati personali e possano infliggere sanzioni equivalenti in caso di violazione di detto regolamento.

78

L’esistenza di un sistema sanzionatorio che consenta di imporre, qualora le circostanze specifiche di ciascun caso lo giustifichino, una sanzione amministrativa pecuniaria in applicazione dell’articolo 83 del RGPD crea, per i titolari del trattamento e i responsabili del trattamento, un incentivo a conformarsi a tale regolamento. Per il loro effetto dissuasivo, le sanzioni amministrative pecuniarie contribuiscono a rafforzare la protezione delle persone fisiche con riguardo al trattamento dei dati personali e costituiscono pertanto un elemento chiave per garantire il rispetto dei diritti di tali persone, conformemente alla finalità di detto regolamento di assicurare un livello elevato di protezione di tali persone con riguardo al trattamento dei dati personali.

79

Tuttavia, il legislatore dell’Unione, per garantire un siffatto elevato livello di protezione, non ha ritenuto necessario prevedere l’imposizione di sanzioni amministrative pecuniarie in assenza di colpa. Tenuto conto del fatto che il RGPD mira a un livello di protezione al contempo equivalente e omogeneo e che, a tal fine, esso deve essere applicato in modo coerente in tutta l’Unione, sarebbe contrario a tale finalità consentire agli Stati membri di prevedere un regime del genere per l’irrogazione di una sanzione pecuniaria in applicazione dell’articolo 83 di detto regolamento. Una libertà di scelta di questo tipo sarebbe, inoltre, atta a falsare la concorrenza tra gli operatori economici all’interno dell’Unione, il che sarebbe in contrasto con gli obiettivi espressi dal legislatore dell’Unione, in particolare, ai considerando 9 e 13 di detto regolamento.

80

Di conseguenza, si deve constatare che l’articolo 83 del RGPD non consente di irrogare una sanzione amministrativa pecuniaria per una violazione di cui ai suoi paragrafi da 4 a 6, senza che sia dimostrato che tale violazione sia stata commessa con dolo o colpa dal titolare del trattamento, e che, pertanto, una violazione colpevole costituisce una condizione per l’imposizione di una siffatta ammenda.

81

A tal riguardo, occorre inoltre precisare, per quanto riguarda la questione se una violazione sia stata commessa con dolo o colpa e possa, pertanto, essere sanzionata con una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 del RGPD, che un titolare del trattamento può essere sanzionato per un comportamento rientrante nell’ambito di applicazione del RGPD, allorché tale titolare del trattamento non poteva ignorare il carattere illecito del suo comportamento, a prescindere dalla sua consapevolezza o meno di violare le disposizioni del RGPD (v., per analogia, sentenze del 18 giugno 2013, Schenker & Co. e a., C‑681/11, EU:C:2013:404, punto 37 e giurisprudenza ivi citata, nonché del 25 marzo 2021, Lundbeck/Commissione, C‑591/16 P, EU:C:2021:243, punto 156, e del 25 marzo 2021, Arrow Group e Arrow Generics/Commissione, C‑601/16 P, EU:C:2021:244, punto 97).

82

Qualora il titolare del trattamento sia una persona giuridica, occorre ancora precisare che l’applicazione dell’articolo 83 del RGPD non presuppone un’azione o neppure una conoscenza dell’organo di gestione di tale persona giuridica (v., per analogia, sentenze del 7 giugno 1983, Musique Diffusion française e a./Commissione, da 100/80 a 103/80, EU:C:1983:158, punto 97, e del 16 febbraio 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/Commissione, C‑94/15 P, EU:C:2017:124, punto 28 e giurisprudenza ivi citata).

83

Per quanto riguarda, in secondo luogo, la questione se una sanzione amministrativa pecuniaria possa essere inflitta, in applicazione dell’articolo 83 del RGPD, a un titolare del trattamento riguardo alle operazioni di trattamento effettuate da un responsabile del trattamento, occorre ricordare che, secondo la definizione di cui all’articolo 4, punto 8, del RGPD, è responsabile del trattamento «la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento».

84

Poiché, come indicato al punto 36 della presente sentenza, un titolare del trattamento è responsabile non solo dei trattamenti di dati personali che effettua direttamente, ma anche di quelli effettuati per suo conto, tale titolare del trattamento può vedersi infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 del RGPD in una situazione in cui i dati personali sono oggetto di un trattamento illecito e non è siffatto titolare del trattamento, bensì un responsabile del trattamento, di cui esso si è avvalso, che ha effettuato tale trattamento per conto del titolare.

85

Tuttavia, la responsabilità del titolare del trattamento per il comportamento del responsabile del trattamento non può estendersi alle situazioni in cui il responsabile del trattamento ha trattato dati personali per finalità sono ad esso proprie o in cui ha trattato tali dati in modo incompatibile con il quadro o le modalità del trattamento quali erano stati determinati dal titolare del trattamento o in modo tale che non si può ragionevolmente ritenere che tale titolare abbia a ciò acconsentito. Infatti, conformemente all’articolo 28, paragrafo 10, del RGPD, in un’ipotesi del genere il responsabile del trattamento deve essere considerato titolare del trattamento per quanto riguarda un trattamento siffatto.

86

Alla luce delle considerazioni che precedono, occorre rispondere alla sesta questione dichiarando che l’articolo 83 del RGPD deve essere interpretato nel senso che, da un lato, una sanzione amministrativa pecuniaria può essere irrogata ai sensi di tale disposizione solo qualora sia accertato che il titolare del trattamento ha commesso, con dolo o colpa, una violazione di cui ai paragrafi da 4 a 6 di detto articolo e, dall’altro, una sanzione pecuniaria siffatta può essere inflitta a un titolare del trattamento in relazione a operazioni di trattamento di dati personali effettuate per suo conto da un responsabile del trattamento, salvo che, nell’ambito di tali operazioni, detto responsabile del trattamento abbia effettuato trattamenti per finalità che gli sono proprie o abbia trattato tali dati in modo incompatibile con il quadro o le modalità del trattamento quali erano stati determinati dal titolare del trattamento o in modo tale che non si può ragionevolmente ritenere che tale titolare abbia a ciò acconsentito.

87

Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Grande Sezione) dichiara: