–

per la Nemzeti Adatvédelmi és Információszabadság Hatóság, da G.J. Dudás, ügyvéd;

–

per UC, da D. Karsai e V. Łuszcz, ügyvédek;

–

per il governo ungherese, da Zs. Biró-Tóth e M.Z. Fehér, in qualità di agenti;

–

per il governo ceco, da L. Březinová, M. Smolek e J. Vláčil, in qualità di agenti;

–

per la Commissione europea, da A. Bouchagiar, C. Kovács e H. Kranenborg, in qualità di agenti,

1

La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 14, paragrafi 1 e 5, lettera c), dell’articolo 32 nonché dell’articolo 77, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).

2

Tale domanda è stata presentata nell’ambito di una controversia tra la Nemzeti Adatvédelmi és Információszabadság Hatóság (autorità nazionale incaricata della protezione dei dati e della libertà di informazione, Ungheria) (in prosieguo: l’«autorità nazionale») e UC in merito all’esistenza di un obbligo di informazione riguardante il trattamento dei dati personali in capo al Budapest Főváros Kormányhivatala (Ufficio governativo di Budapest-Capitale, Ungheria) (in prosieguo: l’«amministrazione preposta al rilascio»), incaricato di rilasciare certificati di immunità alle persone vaccinate contro il COVID-19 o che avevano contratto tale malattia.

3

Ai sensi dei considerando 1, 10 e da 61 a 63 del RGPD:

(...)

(...)

4

L’articolo 1 di tale regolamento, intitolato «Oggetto e finalità», al paragrafo 2 dispone quanto segue:

«Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali».

5

L’articolo 4 di detto regolamento, intitolato «Definizioni», così recita:

«Ai fini del presente regolamento s’intende per:

(...)

(...)».

6

L’articolo 6 del RGPD, intitolato «Liceità del trattamento», al paragrafo 1 così prevede:

«Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

(...)

(...)

(...)».

7

L’articolo 9 di tale regolamento, intitolato «Trattamento di categorie particolari di dati personali», ai suoi paragrafi 1 e 2 così dispone:

«1.   È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

2.   Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:

(...)

(...)».

8

Il capo III del RGPD, intitolato «Diritti dell’interessato», contiene varie sezioni, tra cui la sezione 2, intitolata «Informazione e accesso ai dati personali».

9

In tale sezione 2 del RGPD figurano l’articolo 13, relativo alle «Informazioni da fornire quando i dati personali sono raccolti presso l’interessato», l’articolo 14, relativo alle «Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato» e l’articolo 15, relativo al «Diritto di accesso dell’interessato».

10

Ai sensi dell’articolo 14 di tale regolamento:

«1.   Qualora i dati non siano stati ottenuti presso l’interessato, il titolare del trattamento fornisce all’interessato le seguenti informazioni:

2.   Oltre alle informazioni di cui al paragrafo 1, il titolare del trattamento fornisce all’interessato le seguenti informazioni necessarie per garantire un trattamento corretto e trasparente nei confronti dell’interessato:

(...)

4.   Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati ottenuti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni informazione pertinente di cui al paragrafo 2.

5.   I paragrafi da 1 a 4 non si applicano se e nella misura in cui:

11

L’articolo 32 di detto regolamento, intitolato «Sicurezza del trattamento», è redatto nei seguenti termini:

«1.   Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

2.   Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

3.   L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

4.   Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri».

12

L’articolo 55 del medesimo regolamento, intitolato «Competenza», al paragrafo 1 così dispone:

«Ogni autorità di controllo è competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti a norma del presente regolamento nel territorio del rispettivo Stato membro».

13

L’articolo 57 del RGPD, intitolato «Compiti», al paragrafo 1 prevede quanto segue:

«Fatti salvi gli altri compiti indicati nel presente regolamento, sul proprio territorio ogni autorità di controllo:

(...)

(...)».

14

L’articolo 58 di tale regolamento, intitolato «Poteri», al paragrafo 3 così dispone:

«Ogni autorità di controllo ha tutti i poteri autorizzativi e consultivi seguenti:

(...)

(...)».

15

L’articolo 77 di detto regolamento, intitolato «Diritto di proporre reclamo all’autorità di controllo», al paragrafo 1 prevede quanto segue:

«Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione».

16

L’articolo 78 del RGPD, dal titolo «Diritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo», è così formulato:

«1.   Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda.

2.   Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ciascun interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora l’autorità di controllo che sia competente ai sensi degli articoli 55 e 56 non tratti un reclamo o non lo informi entro tre mesi dello stato o dell’esito del reclamo proposto ai sensi dell’articolo 77.

3.   Le azioni nei confronti dell’autorità di controllo sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’autorità di controllo è stabilita.

4.   Qualora siano promosse azioni avverso una decisione di un’autorità di controllo che era stata preceduta da un parere o da una decisione del comitato nell’ambito del meccanismo di coerenza, l’autorità di controllo trasmette tale parere o decisione all’autorità giurisdizionale».

17

L’articolo 10 del regolamento (UE) 2021/953 del Parlamento europeo e del Consiglio, del 14 giugno 2021, su un quadro per il rilascio, la verifica e l’accettazione di certificati interoperabili di vaccinazione, di test e di guarigione in relazione alla COVID-19 (certificato COVID digitale dell’UE) per agevolare la libera circolazione delle persone durante la pandemia di COVID-19 (GU 2021, L 211, pag. 1), intitolato «Protezione dei dati personali», al paragrafo 1 prevedeva quanto segue:

«Al trattamento dei dati personali effettuato in sede di attuazione del presente regolamento si applica il [RGPD]».

18

Ai sensi dell’articolo 2, paragrafo 1, dell’a koronavírus elleni védettségi igazolásról szóló 60/2021. (II.12.) Korm. rendelet [decreto governativo n. 60/2021 (II.12.), relativo al certificato di immunità dal coronavirus], del 12 febbraio 2021, nella versione applicabile alla controversia di cui al procedimento principale (in prosieguo: il «decreto n. 60/2021»):

«Nel certificato di immunità figurano:

19

Conformemente all’articolo 2, paragrafi 6 e 7, del decreto n. 60/2021, il certificato di immunità è rilasciato, a favore della persona fisica avente diritto, dall’amministrazione preposta al rilascio, d’ufficio o su richiesta.

20

L’articolo 3, paragrafo 3, di tale decreto così dispone:

«Nei casi di cui all’articolo 2, paragrafo 6, lettere c) e d), l’amministrazione preposta al rilascio raccoglie, per mezzo della trasmissione automatica di informazioni – ove necessario, avvalendosi dei servizi del registro elettronico combinato dei dati di identificazione:

21

UC, persona fisica, ha ricevuto dall’amministrazione preposta al rilascio un certificato di immunità attestante la sua vaccinazione contro il COVID-19, ai sensi del decreto n. 60/2021.

22

Il 30 aprile 2021 UC ha avviato un procedimento amministrativo relativo al trattamento dei dati personali che lo riguardavano, presentando, presso l’autorità nazionale, un reclamo sulla base dell’articolo 77, paragrafo 1, del RGPD, affinché fosse ordinato all’amministrazione preposta al rilascio di conformare alle disposizioni del RGPD le sue operazioni di trattamento. Nel suo reclamo, egli ha contestato segnatamente all’amministrazione preposta al rilascio di non aver redatto e pubblicato un’informativa sulla protezione dei dati personali relativi al rilascio dei certificati di immunità e ha fatto valere la mancanza di informazioni in ordine alle finalità e alla base giuridica del trattamento di tali dati e con riguardo ai diritti spettanti agli interessati e alle rispettive modalità di esercizio.

23

Nel procedimento avviato a seguito di tale reclamo, l’amministrazione preposta al rilascio ha dichiarato che lo svolgimento delle sue funzioni connesse al rilascio del certificato di immunità avveniva in forza dell’articolo 2 del decreto n. 60/2021 e che il fondamento giuridico del trattamento dei dati personali era costituito dall’articolo 6, paragrafo 1, lettera e), del RGPD e, con riguardo al trattamento di categorie particolari di dati personali, dall’articolo 9, paragrafo 2, lettera i), di tale regolamento.

24

Inoltre, l’amministrazione preposta al rilascio ha dichiarato di aver ottenuto i dati personali che essa trattava presso un altro organismo, conformemente alle disposizioni del decreto n. 60/2021. Su tale base, essa ha affermato che, in forza dell’articolo 14, paragrafo 5, lettera c), del RGPD, essa non era tenuta a fornire informazioni sul trattamento di tali dati. Essa ha tuttavia redatto e pubblicato sul proprio sito Internet l’informativa sulla protezione dei dati personali richiesta.

25

Con decisione del 15 novembre 2021, l’autorità nazionale ha respinto la domanda di UC e ha dichiarato che non sussisteva l’obbligo di informazione in capo all’amministrazione preposta al rilascio, in quanto il trattamento di dati personali di cui trattasi rientrava nell’ambito della deroga prevista dall’articolo 14, paragrafo 5, lettera c), del RGPD.

26

In particolare, tale autorità ha ritenuto che il decreto n. 60/2021 costituisse il fondamento giuridico del trattamento e che quest’ultimo imponesse espressamente all’amministrazione preposta al rilascio di raccogliere i dati in questione. Secondo detta autorità, la pubblicazione delle informazioni sul trattamento dei dati personali da parte dell’amministrazione preposta al rilascio, sul suo sito Internet, costituiva una buona prassi e non un obbligo legale.

27

Inoltre, l’autorità nazionale ha esaminato d’ufficio se esistessero misure appropriate per tutelare gli interessi legittimi dell’interessato, ai sensi dell’articolo 14, paragrafo 5, lettera c), seconda parte di frase, del RGPD, e ha ritenuto che dovessero essere considerate tali le disposizioni degli articoli 2, 3 e da 5 a 7 del decreto n. 60/2021.

28

UC ha proposto un ricorso amministrativo avverso tale decisione dinanzi alla Fővárosi Törvényszék (Corte di Budapest-Capitale, Ungheria), la quale ha annullato detta decisione e ha ordinato a tale autorità di avviare un nuovo procedimento.

29

Nella sua sentenza, tale giudice ha ritenuto che la deroga prevista all’articolo 14, paragrafo 5, lettera c), del RGPD non fosse applicabile, in quanto taluni dati personali prodotti in relazione ai certificati di immunità non erano ottenuti dal titolare del trattamento presso un altro organismo, ma erano generati dal titolare stesso, nell’ambito dell’esercizio dei suoi compiti. Tale era il caso, secondo detto giudice, del numero di serie del certificato di immunità, della data di scadenza del certificato rilasciato a una persona che ha contratto la malattia, del codice QR presente sulla carta, del codice a barre e degli altri codici alfanumerici presenti sulla lettera di consegna del certificato, nonché dei dati personali generati dal processo di gestione dei fascicoli del titolare del trattamento. Secondo il medesimo giudice, solo i dati personali ottenuti presso un altro organismo potevano rientrare nell’ambito della deroga prevista all’articolo 14, paragrafo 5, lettera c), del RGPD.

30

L’autorità nazionale ha adito la Kúria (Corte suprema, Ungheria), giudice del rinvio, con un ricorso straordinario avverso tale sentenza.

31

È in tale contesto che detto giudice si chiede, anzitutto, se la deroga prevista all’articolo 14, paragrafo 5, lettera c), del RGPD possa applicarsi a tutti i trattamenti di dati personali ad esclusione di quelli riguardanti dati personali raccolti presso l’interessato.

32

In caso di risposta affermativa, detto giudice si chiede se, nell’ambito di un procedimento di reclamo ai sensi dell’articolo 77, paragrafo 1, del RGPD, l’autorità di controllo sia competente a verificare, al fine di pronunciarsi sull’applicabilità di tale deroga, se il diritto nazionale del titolare del trattamento preveda misure appropriate per tutelare gli interessi legittimi dell’interessato.

33

In caso di risposta affermativa, il giudice del rinvio chiede, infine, se tale verifica verta anche sull’adeguatezza delle misure che il titolare del trattamento è tenuto a mettere in atto, in forza dell’articolo 32 del RGPD, al fine di garantire la sicurezza del trattamento di dati personali.

34

In tale contesto, la Kúria (Corte suprema) ha deciso di sospendere il procedimento e di sottoporre alla Corte di giustizia le seguenti questioni pregiudiziali:

35

Il 16 gennaio 2024 la Corte ha invitato le parti e gli interessati di cui all’articolo 23 dello Statuto della Corte di giustizia dell’Unione Europea a rispondere per iscritto a taluni quesiti, in applicazione dell’articolo 61 del regolamento di procedura della Corte. Le parti ricorrente e resistente nel procedimento principale, i governi ungherese e ceco nonché la Commissione europea hanno risposto a tali quesiti.

36

Con la prima questione il giudice del rinvio chiede, in sostanza, se l’articolo 14, paragrafo 5, lettera c), del RGPD debba essere interpretato nel senso che la deroga all’obbligo di informazione dell’interessato da parte del titolare del trattamento, prevista da tale disposizione, riguarda unicamente i dati personali che il titolare del trattamento ha ottenuto presso una persona diversa dall’interessato o se essa riguarda altresì i dati personali generati dallo stesso titolare del trattamento nell’ambito dell’esercizio dei propri compiti.

37

L’articolo 14, paragrafi 1, 2 e 4, di tale regolamento stabilisce le informazioni che il titolare del trattamento è tenuto a fornire all’interessato, ai sensi dell’articolo 4, punto 1, di detto regolamento, qualora i dati personali non siano stati ottenuti presso quest’ultimo.

38

L’articolo 14, paragrafo 5, del medesimo regolamento prevede talune deroghe a tale obbligo. Tra tali deroghe, la lettera c) di tale paragrafo 5 prevede che detto obbligo non si applica se e nella misura in cui l’ottenimento o la comunicazione delle informazioni sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell’interessato.

39

Al fine di stabilire se tale deroga comprenda i dati personali generati dal titolare del trattamento stesso, nell’ambito dell’esercizio dei propri compiti, a partire da dati ottenuti presso una persona diversa dall’interessato, occorre, in applicazione di una giurisprudenza costante, tener conto non soltanto del tenore letterale della disposizione che la prevede, ma anche del contesto di tale disposizione e degli obiettivi perseguiti dalla normativa di cui essa fa parte (v., in tal senso, sentenza del 12 gennaio 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punto 32 e giurisprudenza ivi citata).

40

In primo luogo, occorre determinare, alla luce della formulazione dell’articolo 14, paragrafo 5, lettera c), del RGPD, l’oggetto dell’«ottenimento o [della] comunicazione» a cui fa riferimento tale disposizione.

41

Sotto un primo profilo, esiste infatti una divergenza tra le diverse versioni linguistiche di questa disposizione. La versione in lingua francese della medesima disposizione fa riferimento all’ottenimento o alla comunicazione delle «informations» (informazioni), mentre, anzitutto, le versioni nelle lingue ungherese («adat»), estone («isikuandmed»), croata («podataka»), lituana («duomenų»), neerlandese («gegevens»), portoghese («dados»), rumena («datelor») nonché svedese («uppgifter») fanno riferimento all’ottenimento o alla comunicazione dei «dati», poi, la versione in lingua finlandese contiene un termine («tietojen») che può riferirsi sia ai «dati» che alle «informazioni» e, infine, le versioni in lingua bulgara, spagnola, ceca, danese, tedesca, greca, inglese, italiana, lettone, maltese, polacca, slovacca e slovena non menzionano l’oggetto dell’ottenimento o della comunicazione.

42

Orbene, secondo una giurisprudenza parimenti costante, la formulazione utilizzata in una delle versioni linguistiche di una disposizione del diritto dell’Unione non può essere l’unico elemento a sostegno dell’interpretazione di questa disposizione né si può attribuire ad essa un carattere prioritario rispetto alle altre versioni linguistiche. Le disposizioni del diritto dell’Unione devono infatti essere interpretate e applicate in modo uniforme, alla luce delle versioni vigenti in tutte le lingue dell’Unione. In caso di divergenza tra le diverse versioni linguistiche di un testo del diritto dell’Unione, la disposizione di cui trattasi deve essere interpretata in funzione dell’economia generale e della finalità della normativa di cui essa fa parte (sentenza del 21 marzo 2024, Cobult, C‑76/23, EU:C:2024:253, punto 25 e giurisprudenza ivi citata).

43

Per quanto riguarda l’economia generale del RGPD, occorre leggere l’articolo 14, paragrafo 5, di tale regolamento alla luce dei considerando 61 e 62 di quest’ultimo, i quali fanno riferimento, da un lato, ai «dati [personali] ottenuti (…) [e ai] dati personali (…) comunicati», nonché alla «registrazione o [alla] comunicazione dei dati personali (...) previste per legge» e, dall’altro, alle «informazioni (...) fornite» o «da fornire». L’interpretazione secondo la quale «l’ottenimento o la comunicazione», ai sensi dell’articolo 14, paragrafo 5, lettera c), del RGPD, riguardano i dati personali è inoltre confermata dall’ampia portata della nozione di «trattamento», ai sensi dell’articolo 4, punto 2, del RGPD, che comprende qualsiasi operazione applicata a dati personali [v., in tal senso, sentenza del 5 ottobre 2023, Ministerstvo zdravotnictví (Applicazione mobile COVID-19),C‑659/22, EU:C:2023:745, punto 27 e giurisprudenza ivi citata].

44

Per quanto riguarda la finalità della normativa di cui fa parte l’articolo 14, paragrafo 5, lettera c), del RGPD, è sufficiente osservare, al pari dell’avvocata generale al paragrafo 31 delle sue conclusioni, che la ratio legis di tale deroga risiede nel fatto che l’obbligo di informazione dell’interessato imposto dall’articolo 14, paragrafi 1, 2 e 4, di tale regolamento non è giustificato quando un’altra disposizione del diritto dell’Unione o del diritto di uno Stato membro impone al titolare del trattamento, in modo sufficientemente completo e vincolante, di fornire a tale persona informazioni relative all’ottenimento o alla comunicazione dei dati personali. Infatti, nell’ipotesi di cui a tale articolo 14, paragrafo 5, lettera c), gli interessati devono avere una conoscenza sufficiente delle modalità e delle finalità dell’ottenimento o della comunicazione di tali dati.

45

Di conseguenza, si deve ritenere, alla luce della formulazione dell’articolo 14, paragrafo 5, lettera c), del RGPD in tutte le sue versioni linguistiche, che tale disposizione debba essere intesa nel senso che essa si riferisce all’ottenimento o alla comunicazione dei dati personali.

46

Sotto un secondo profilo, occorre constatare che la formulazione dell’articolo 14, paragrafo 5, lettera c), del RGPD non limita la deroga da esso prevista ai soli dati personali ottenuti dal titolare del trattamento presso una persona diversa dall’interessato, né esclude i dati che sono stati generati dal titolare del trattamento stesso, nell’ambito dell’esercizio dei propri compiti, a partire da tali dati.

47

Ne consegue che i dati personali che sono stati oggetto di un «ottenimento», ai sensi di detta disposizione, da parte del titolare del trattamento sono tutti quelli che quest’ultimo ottiene presso una persona diversa dall’interessato e quelli che esso stesso ha generato, nell’ambito dell’esercizio dei propri compiti, a partire da dati ottenuti presso una persona diversa dall’interessato.

48

In secondo luogo, occorre osservare che l’ambito di applicazione ratione materiae dell’articolo 14 del RGPD è definito in modo negativo rispetto all’articolo 13 di tale regolamento. Come risulta dal titolo stesso di tali disposizioni, detto articolo 13 verte sulle informazioni da fornire quando i dati personali sono raccolti presso l’interessato, mentre l’articolo 14 riguarda quelle che devono essere fornite quando i dati personali non sono stati ottenuti presso l’interessato. Tenuto conto di tale dicotomia, tutti i casi nei quali i dati non sono ottenuti presso l’interessato rientrano nell’ambito di applicazione materiale di detto articolo 14.

49

Pertanto, dal combinato disposto degli articoli 13 e 14 del RGPD risulta che tanto i dati personali ottenuti dal titolare del trattamento presso una persona diversa dall’interessato quanto i dati generati dal titolare del trattamento stesso, i quali, per loro natura, neppure sono stati ottenuti presso l’interessato, rientrano nell’ambito di applicazione di tale articolo 14. Ne consegue che la deroga prevista da detto articolo 14, paragrafo 5, lettera c), riguarda queste due categorie di dati.

50

In terzo luogo, occorre interpretare l’articolo 14, paragrafo 5, lettera c), del RGPD in un senso conforme all’obiettivo perseguito da tale regolamento, che consiste in particolare, come risulta dal suo articolo 1, letto alla luce dei considerando 1 e 10, nel garantire un elevato livello di tutela delle libertà e dei diritti fondamentali delle persone fisiche, in particolare del loro diritto alla vita privata, con riguardo al trattamento dei dati personali, sancito dall’articolo 8, paragrafo 1, della Carta dei diritti fondamentali e dall’articolo 16, paragrafo 1, TFUE (v., in tal senso, sentenza del 7 marzo 2024, IAB Europe, C‑604/22, EU:C:2024:214, punto 53 e giurisprudenza ivi citata).

51

A tal riguardo, dal considerando 63 del RGPD risulta che il legislatore dell’Unione ha voluto che un interessato, ai sensi di tale regolamento, disponga del diritto di accedere ai dati personali raccolti che lo riguardano per essere consapevole del trattamento e verificarne la liceità.

52

Pertanto, il titolare del trattamento può essere dispensato dal suo obbligo di informazione che gli incombe normalmente nei confronti dell’interessato a condizione che quest’ultimo sia in grado di esercitare un controllo sui propri dati personali e di esercitare i diritti conferitigli dal RGPD.

53

Conformemente all’obiettivo perseguito da tale regolamento, la deroga all’obbligo di informazione dell’interessato, prevista all’articolo 14, paragrafo 5, lettera c), del RGPD, richiede, da un lato, che l’ottenimento o la comunicazione dei dati personali da parte del titolare del trattamento siano espressamente previsti dal diritto dell’Unione o dal diritto dello Stato membro cui tale titolare del trattamento è soggetto. Dall’altro lato, tale diritto deve prevedere misure appropriate per tutelare gli interessi legittimi dell’interessato.

54

Ne consegue che, per essere pienamente conforme all’obiettivo perseguito dal RGPD, l’applicazione dell’articolo 14, paragrafo 5, lettera c), di tale regolamento è soggetta al rispetto scrupoloso delle condizioni previste da tale disposizione, ossia, in particolare, all’esistenza di un livello di protezione dell’interessato almeno equivalente a quello garantito dall’articolo 14, paragrafi da 1 a 4, di detto regolamento.

55

Alla luce delle motivazioni sopra esposte, occorre rispondere alla prima questione dichiarando che l’articolo 14, paragrafo 5, lettera c), del RGPD deve essere interpretato nel senso che la deroga all’obbligo di informazione dell’interessato da parte del titolare del trattamento, prevista da tale disposizione, riguarda indistintamente tutti i dati personali che il titolare del trattamento non ha raccolto direttamente presso l’interessato, indipendentemente dal fatto che tali dati siano stati ottenuti dal titolare del trattamento presso una persona diversa dall’interessato o che siano stati generati dal titolare del trattamento stesso, nell’ambito dell’esercizio dei suoi compiti.

56

Con le questioni seconda e terza, che occorre esaminare congiuntamente, il giudice del rinvio chiede, in sostanza, se l’articolo 14, paragrafo 5, lettera c), e l’articolo 77, paragrafo 1, del RGPD debbano essere interpretati nel senso che, nell’ambito di un procedimento di reclamo, l’autorità di controllo è competente a verificare se il diritto dello Stato membro cui è soggetto il titolare del trattamento preveda misure appropriate per tutelare gli interessi legittimi dell’interessato, ai fini dell’applicazione della deroga di cui a tale articolo 14, paragrafo 5, lettera c), e, in caso affermativo, se tale verifica riguardi anche l’adeguatezza delle misure che il titolare del trattamento è tenuto a mettere in atto, in forza dell’articolo 32 di tale regolamento, al fine di garantire la sicurezza del trattamento dei dati personali.

57

In primo luogo, occorre ricordare che, ai sensi dell’articolo 77, paragrafo 1, del RGPD, fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi tale regolamento ha il diritto di proporre reclamo a un’autorità di controllo.

58

Per quanto riguarda la competenza delle autorità di controllo, l’articolo 55, paragrafo 1, di detto regolamento prevede che ogni autorità di controllo è competente, nel territorio del rispettivo Stato membro, a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti a norma del medesimo regolamento.

59

Quanto a tali compiti, l’articolo 57, paragrafo 1, lettera a), del RGPD dispone che sul proprio territorio ogni autorità di controllo sorveglia e assicura l’applicazione di tale regolamento.

60

Il RGPD non contiene alcuna disposizione idonea a sottrarre taluni aspetti dell’applicazione della deroga prevista all’articolo 14, paragrafo 5, lettera c), di tale regolamento alla competenza di tali autorità di controllo.

61

In forza di tale disposizione, il titolare del trattamento è dispensato dal fornire all’interessato le informazioni di cui all’articolo 14, paragrafi 1, 2 e 4, del RGPD se e nella misura in cui, da un lato, l’ottenimento o la comunicazione dei dati personali sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e, dall’altro, tale diritto prevede misure appropriate per tutelare gli interessi legittimi dell’interessato.

62

Pertanto, un reclamo ai sensi dell’articolo 77, paragrafo 1, del RGPD può essere fondato su una violazione dell’obbligo di informazione da parte del titolare del trattamento, vertente sul mancato rispetto delle condizioni di applicazione della deroga prevista all’articolo 14, paragrafo 5, lettera c), di tale regolamento.

63

Per quanto riguarda la prima condizione, ricordata al punto 61 della presente sentenza, l’autorità di controllo a cui viene presentato tale reclamo può essere indotta a verificare se il diritto dell’Unione o il diritto nazionale preveda che il titolare del trattamento debba ottenere o comunicare dati personali.

64

Per quanto riguarda la seconda condizione, occorre constatare, al pari dell’avvocata generale ai paragrafi 67 e 69 delle sue conclusioni, che la portata dell’espressione «misure appropriate per tutelare gli interessi legittimi dell’interessato» non è precisata nel RGPD. Ciò premesso, le disposizioni del diritto dell’Unione o del diritto dello Stato membro che prevedono siffatte misure e alle quali è soggetto il titolare del trattamento devono garantire, come osservato al punto 54 della presente sentenza, un livello di protezione dell’interessato riguardo al trattamento dei suoi dati personali almeno equivalente a quello previsto all’articolo 14, paragrafi da 1 a 4, di tale regolamento. Pertanto, tali disposizioni devono essere tali da consentire all’interessato di esercitare un controllo sui suoi dati personali e di esercitare i diritti conferitigli dal RGPD.

65

A tal fine, occorre in particolare che dette disposizioni indichino, in modo chiaro e prevedibile, la fonte a partire dalla quale l’interessato otterrà informazioni sul trattamento dei dati personali che lo riguardano.

66

Nel contesto della trasmissione dei dati personali tra organismi di uno Stato membro e della generazione di tali dati da parte di un titolare del trattamento a partire dai dati raccolti presso una persona diversa dall’interessato, occorre rilevare che, in caso di reclamo da parte di quest’ultimo, spetterà all’autorità di controllo verificare, in particolare, se il diritto nazionale o dell’Unione pertinente definisca con sufficiente precisione i diversi tipi di dati personali da ottenere o da comunicare, nonché i dati personali che egli deve generare nell’ambito dell’esercizio dei suoi compiti e se tale diritto prevede in che modo l’interessato abbia effettivamente accesso alle informazioni di cui all’articolo 14, paragrafi 1, 2 e 4, del RGPD.

67

Come sottolineato dalla Commissione nelle sue osservazioni scritte, la verifica, da parte di un’autorità di controllo, della questione se siano soddisfatte tutte le condizioni per l’applicazione della deroga di cui all’articolo 14, paragrafo 5, lettera c), del RGPD non rientra tuttavia in un esame della validità delle disposizioni pertinenti del diritto nazionale. Tale autorità si pronuncia unicamente sulla questione se, in un determinato caso, il titolare del trattamento abbia o meno il diritto di invocare la deroga prevista da tale disposizione nei confronti dell’interessato.

68

Per quanto riguarda l’esito di una siffatta verifica, occorre ricordare che, in forza dell’articolo 78 di tale regolamento, se, in un determinato caso, l’autorità di controllo decide che il reclamo dell’interessato non è fondato, quest’ultimo deve disporre, nel suo Stato membro, del diritto a un ricorso giurisdizionale effettivo avverso tale decisione di rigetto.

69

Per contro, qualora tale autorità ritenga che il reclamo sia fondato e che le condizioni per l’applicazione della deroga di cui all’articolo 14, paragrafo 5, lettera c), di detto regolamento non siano soddisfatte, essa ordina al titolare del trattamento di fornire all’interessato le informazioni, conformemente all’articolo 14, paragrafi 1, 2 e 4, del medesimo regolamento.

70

In secondo luogo, per quanto riguarda la questione se tale verifica debba riguardare anche l’adeguatezza, alla luce dell’articolo 32 del RGPD, delle misure che il titolare del trattamento è tenuto ad attuare per garantire la sicurezza del trattamento, occorre sottolineare che l’articolo 14, paragrafo 5, lettera c), di tale regolamento prevede una deroga unicamente all’obbligo di informazione previsto all’articolo 14, paragrafi 1, 2 e 4, di detto regolamento, senza prevedere una deroga agli obblighi contenuti in altre disposizioni del medesimo regolamento, tra cui l’articolo 32 di quest’ultimo.

71

Tale articolo 32 impone al titolare del trattamento e all’eventuale responsabile del trattamento di mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato del trattamento dei dati personali. L’adeguatezza di tali misure deve essere valutata in concreto, tenendo conto dei rischi connessi al trattamento di cui trattasi e valutando se la natura, il contenuto e l’attuazione di tali misure siano adeguati a tali rischi (v., in tal senso, sentenze del 14 dicembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punti 42, 46 e 47, nonché del 25 gennaio 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punti 37 e 38).

72

Alla luce dei rispettivi termini di queste due disposizioni, occorre rilevare che gli obblighi sanciti all’articolo 32 del RGPD, che devono essere rispettati in ogni caso e indipendentemente dall’esistenza o meno di un obbligo di informazione ai sensi dell’articolo 14 di tale regolamento, sono diversi per natura e portata rispetto all’obbligo di informazione previsto da tale articolo 14.

73

Pertanto, in caso di reclamo ai sensi dell’articolo 77, paragrafo 1, del RGPD, per il motivo che il titolare del trattamento ha invocato, erroneamente, la deroga di cui all’articolo 14, paragrafo 5, lettera c), di tale regolamento, l’oggetto delle verifiche che l’autorità di controllo deve effettuare è circoscritto dall’ambito di applicazione del solo articolo 14 di detto regolamento, dato che il rispetto dell’articolo 32 di quest’ultimo non fa parte di tali verifiche.

74

Alla luce delle motivazioni sopra esposte, occorre rispondere alla seconda e alla terza questione dichiarando che l’articolo 14, paragrafo 5, lettera c), e l’articolo 77, paragrafo 1, del RGPD devono essere interpretati nel senso che, nell’ambito di un procedimento di reclamo, l’autorità di controllo è competente a verificare se il diritto dello Stato membro cui è soggetto il titolare del trattamento preveda misure appropriate per tutelare gli interessi legittimi dell’interessato, ai fini dell’applicazione della deroga di cui a tale articolo 14, paragrafo 5, lettera c). Tale verifica non verte tuttavia sull’adeguatezza delle misure che il titolare del trattamento è tenuto a mettere in atto, in forza dell’articolo 32 di tale regolamento, al fine di garantire la sicurezza del trattamento dei dati personali.

75

Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Terza Sezione) dichiara: