SENTENZA DELLA CORTE (Quinta Sezione)
24 febbraio 2022 ( *1 )
«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 2 – Ambito di applicazione – Articolo 4 – Nozione di “trattamento” – Articolo 5 – Principi applicabili al trattamento – Limitazione della finalità – Minimizzazione dei dati – Articolo 6 – Liceità del trattamento – Trattamento necessario per l’esecuzione di un compito di interesse pubblico di cui è investito il titolare del trattamento – Trattamento necessario all’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento – Articolo 23 – Limitazioni – Trattamento di dati a fini fiscali – Richiesta di comunicazione di informazioni relative ad annunci di vendita di veicoli pubblicati online – Proporzionalità»
Nella causa C‑175/20,
avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dalla Administratīvā apgabaltiesa (Corte amministrativa regionale, Lettonia), con decisione dell’11 marzo 2020, pervenuta in cancelleria il 14 aprile 2020, nel procedimento
«SS» SIA
contro
Valsts ieņēmumu dienests,
LA CORTE (Quinta Sezione),
composta da E. Regan, presidente di sezione, K. Lenaerts, presidente della Corte, facente funzione di giudice della Quinta Sezione, C. Lycourgos, presidente della Quarta Sezione, I. Jarukaitis e M. Ilešič (relatore), giudici,
avvocato generale: M. Bobek
cancelliere: A. Calot Escobar
vista la fase scritta del procedimento,
considerate le osservazioni presentate:
-- per la «SS» SIA, da M. Ruķers;
– |
per il governo lettone, inizialmente da K. Pommere, V. Soņeca e L. Juškeviča, successivamente da K. Pommere, in qualità di agenti; |
– |
per il governo belga, da J.-C. Halleux e P. Cottin, in qualità di agenti, assistiti da C. Molitor, avocat; |
– |
per il governo ellenico, da E.-M. Mamouna e O. Patsopoulou, in qualità di agenti; |
– |
per il governo spagnolo, inizialmente da J. Rodríguez de la Rúa Puig e S. Jiménez García, successivamente da J. Rodríguez de la Rúa Puig, in qualità di agenti; |
– |
per la Commissione europea, inizialmente da H. Kranenborg, D. Nardi e I. Rubene, successivamente da H. Kranenborg e I. Rubene, in qualità di agenti, |
sentite le conclusioni dell’avvocato generale, presentate all’udienza del 2 settembre 2021,
ha pronunciato la seguente
Sentenza
1 |
La domanda di pronuncia pregiudiziale verte sull’interpretazione del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1, e rettifiche GU 2016, L 314, pag. 72, GU 2018, L 127, pag. 3, GU 2021, L 74, pag. 35), in particolare dell’articolo 5, paragrafo 1. |
2 |
Tale domanda è stata presentata nell’ambito di una controversia tra la «SS» SIA e il Valsts ieņēmumu dienests (amministrazione tributaria, Lettonia; in prosieguo l’«amministrazione tributaria lettone») in merito a una richiesta di comunicazione di informazioni relative ad annunci di vendita di veicoli pubblicati sul sito Internet della SS. |
Contesto normativo
Diritto dell’Unione
Regolamento 2016/679
3 |
Il regolamento 2016/679, fondato sull’articolo 16 TFUE, si applica, ai sensi del suo articolo 99, paragrafo 2, a decorrere dal 25 maggio 2018. |
4 |
I considerando 1, 4, 10, 19, 26, 31, 39, 41 e 50 di tale regolamento recitano così:
(...)
(...)
(...)
(...)
(...)
(...)
(...)
(...)
|
5 |
L’articolo 2 del regolamento 2016/679, rubricato «Ambito di applicazione materiale», dispone quanto segue: «1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi. 2. Il presente regolamento non si applica ai trattamenti di dati personali:
(...)». |
6 |
L’articolo 4 di tale regolamento, rubricato «Definizioni», recita così: «Ai fini del presente regolamento s’intende per:
(...)
(...)
(...)». |
7 |
Ai sensi dell’articolo 5 di detto regolamento, rubricato «Principi applicabili al trattamento di dati personali»: «1. I dati personali sono:
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)». |
8 |
L’articolo 6 del medesimo regolamento, rubricato «Liceità del trattamento», prevede quanto segue: «1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti. 2. Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX. 3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:
La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. (…) Il diritto dell’Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito. 4. Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l’altro:
|
9 |
Ai sensi dell’articolo 13, paragrafo 3, del regolamento 2016/679: «Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2». |
10 |
L’articolo 14 di tale regolamento dispone quanto segue: «1. Qualora i dati non siano stati ottenuti presso l’interessato, il titolare del trattamento fornisce all’interessato le seguenti informazioni: (...)
(...) 5. I paragrafi da 1 a 4 non si applicano se e nella misura in cui: (...)
(...)». |
11 |
Ai sensi dell’articolo 23, paragrafo 1, lettera e), di detto regolamento: «Il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare: (...)
(...)». |
12 |
L’articolo 25, paragrafo 2, del regolamento 2016/679 dispone quanto segue: «Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica». |
Direttiva 2016/680
13 |
I considerando 10 e 11 della direttiva 2016/680 recitano così:
|
14 |
L’articolo 3 della direttiva in parola dispone quanto segue: «Ai fini della presente direttiva si intende per: (...) 7. “autorità competente”:
(...)». |
Normativa lettone
15 |
Ai sensi dell’articolo 15, paragrafo 6, del likums «Par nodokļiem un nodevām» (legge sulle imposte e sulle tasse, Latvijas Vēstnesis, 1995, n. 26), nella versione applicabile al procedimento principale (in prosieguo: la «legge sulle imposte e sulle tasse»), il fornitore di servizi di annunci pubblicati su Internet è tenuto a comunicare, a richiesta dell’amministrazione tributaria lettone, le informazioni in suo possesso relative ai contribuenti che hanno pubblicato annunci avvalendosi dei suoi servizi. |
Procedimento principale e questioni pregiudiziali
16 |
La SS è un fornitore di servizi di annunci pubblicati su Internet con sede in Lettonia. |
17 |
Il 28 agosto 2018, l’amministrazione tributaria lettone ha rivolto alla SS una richiesta di informazioni sulla base dell’articolo 15, paragrafo 6, della legge sulle imposte e sulle tasse, con la quale invitava tale società a ripristinare l’accesso, di cui disponeva detta amministrazione tributaria, ai numeri di telaio dei veicoli oggetto degli annunci pubblicati sul portale Internet di tale società e ai numeri di telefono dei venditori, nonché a comunicarle, entro il 3 settembre 2018, informazioni sugli annunci pubblicati nel periodo compreso tra il 14 luglio e il 31 agosto 2018 nella rubrica di detto portale intitolata «Autoveicoli». |
18 |
In tale richiesta si precisava che dette informazioni, le quali includevano il link all’annuncio, il testo di quest’ultimo, la marca, il modello, il numero di telaio e il prezzo del veicolo, nonché il numero di telefono del venditore, dovevano essere trasmesse per via elettronica, in un formato che consentisse di filtrare o selezionare i dati. |
19 |
Inoltre, qualora l’accesso alle informazioni contenute negli annunci pubblicati sul portale Internet in questione non potesse essere ripristinato, si invitava la SS a indicarne il motivo e a comunicare, entro il terzo giorno di ciascun mese, le informazioni pertinenti sugli annunci pubblicati nel mese precedente. |
20 |
Ritenendo che la richiesta di informazioni dell’amministrazione tributaria lettone non fosse conforme ai principi di proporzionalità e di minimizzazione dei dati personali, sanciti dal regolamento 2016/679, la SS ha presentato un reclamo contro tale richiesta al direttore generale pro tempore dell’amministrazione tributaria lettone. |
21 |
Con decisione del 30 ottobre 2018, quest’ultimo ha respinto tale reclamo dichiarando in particolare che, nell’ambito del trattamento dei dati personali di cui trattasi nel procedimento principale, l’amministrazione tributaria lettone esercitava i poteri attribuitile dalla legge. |
22 |
La SS ha proposto dinanzi all’administratīvā rajona tiesa (Tribunale amministrativo distrettuale, Lettonia) un ricorso diretto all’annullamento di tale decisione. Oltre agli argomenti dedotti nel suo reclamo, essa sosteneva che detta decisione non avrebbe indicato, in violazione dell’articolo 5, paragrafo 1, del regolamento 2016/679, né la finalità specifica del trattamento dei dati personali previsto dall’amministrazione tributaria lettone, né la quantità di dati necessari a quest’ultimo. |
23 |
Con sentenza del 21 maggio 2019, l’administratīvā rajona tiesa (Tribunale amministrativo distrettuale) ha respinto tale ricorso stabilendo, in sostanza, che l’amministrazione tributaria lettone poteva legittimamente richiedere l’accesso a informazioni riguardanti qualsiasi persona e senza limitazioni quantitative, a meno che tali informazioni non siano considerate incompatibili con le finalità attinenti alla riscossione delle imposte. Detto giudice ha, inoltre, dichiarato che le disposizioni del regolamento 2016/679 non erano applicabili nei confronti di tale amministrazione. |
24 |
La SS ha interposto appello contro detta sentenza dinanzi al giudice del rinvio deducendo, da un lato, che l’amministrazione tributaria lettone sarebbe soggetta alle disposizioni del regolamento 2016/679, e, dall’altro, che, richiedendo mensilmente e senza limitazioni temporali una quantità considerevole di dati personali relativi à un numero non delimitato di annunci, senza individuare i contribuenti nei cui confronti sarebbe stata avviata una verifica fiscale, tale amministrazione avrebbe violato il principio di proporzionalità. |
25 |
Il giudice del rinvio precisa che, nell’ambito del procedimento principale, è pacifico che l’esecuzione della richiesta di informazioni di cui trattasi è intrinsecamente connessa al trattamento di dati personali, ed è altresì incontestato che l’amministrazione tributaria lettone ha il diritto di ottenere informazioni di cui disponga un fornitore di servizi di inserzioni pubblicitarie su Internet e che risultino necessarie per l’esecuzione di misure specifiche concernenti la riscossione delle imposte. |
26 |
La controversia nel procedimento principale riguarderebbe la quantità e il tipo di informazioni che possono essere richieste dall’amministrazione tributaria lettone, il carattere limitato o illimitato di tali informazioni, nonché la questione se l’obbligo di comunicazione a carico della SS debba essere limitato nel tempo. |
27 |
In particolare, il giudice del rinvio ritiene di dover stabilire se, nelle circostanze del procedimento principale, il trattamento dei dati personali sia effettuato in modo trasparente nei confronti degli interessati, se le informazioni indicate nella richiesta di comunicazione di cui trattasi siano richieste per finalità determinate, esplicite e legittime, e se il trattamento dei dati personali sia effettuato esclusivamente nei limiti in cui sia realmente necessario all’esercizio delle funzioni dell’amministrazione tributaria lettone, ai sensi dell’articolo 5, paragrafo 1, del regolamento 2016/679. |
28 |
A tal fine, sarebbe necessario definire i criteri per poter valutare se una richiesta di comunicazione di dati da parte dell’amministrazione tributaria lettone rispetti l’essenza dei diritti e delle libertà fondamentali e se la richiesta di comunicazione di dati di cui trattasi nel procedimento principale possa essere considerata necessaria e proporzionata in una società democratica per salvaguardare importanti obiettivi dell’Unione e interessi pubblici lettoni in materia di bilancio e tributaria. |
29 |
Alla luce di quanto precede, l’Administratīvā apgabaltiesa (Corte amministrativa regionale, Lettonia) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
|
Sulle questioni pregiudiziali
Sulla prima questione
30 |
Con la prima questione, il giudice del rinvio chiede, in sostanza, se le disposizioni del regolamento 2016/679 debbano essere interpretate nel senso che è soggetta ai requisiti di tale regolamento, in particolare a quelli di cui all’articolo 5, paragrafo 1, di quest’ultimo, la raccolta, da parte dell’amministrazione tributaria di uno Stato membro presso un operatore economico, di informazioni riguardanti una quantità significativa di dati personali. |
31 |
Per rispondere a tale questione, occorre verificare, in primo luogo, se una richiesta siffatta rientri nell’ambito di applicazione materiale del regolamento 2016/679, come definito all’articolo 2, paragrafo 1 di quest’ultimo, e, in secondo luogo, se essa non rientri tra i trattamenti di dati personali che l’articolo 2, paragrafo 2, di detto regolamento esclude da tale ambito di applicazione. |
32 |
In primo luogo, ai sensi del suo articolo 2, paragrafo 1, il regolamento 2016/679 si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi. |
33 |
L’articolo 4, punto 1, del regolamento 2016/679 specifica che per «dato personale» si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile, ossia una persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o a più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Il considerando 26 di detto regolamento precisa a tal proposito che, per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. |
34 |
Nell’ambito del procedimento principale, è pacifico che le informazioni, di cui l’amministrazione tributaria lettone ha richiesto la comunicazione, costituiscono dati personali ai sensi dell’articolo 4, punto 1, del regolamento 2016/679. |
35 |
Secondo l’articolo 4, punto 2, di detto regolamento, la raccolta, la consultazione, la comunicazione mediante trasmissione e qualsiasi forma di messa a disposizione di dati personali costituiscono «trattamenti» ai sensi di tale regolamento. Dalla formulazione di tale disposizione, in particolare dall’espressione «qualsiasi operazione», risulta che il legislatore dell’Unione ha inteso attribuire alla nozione di «trattamento» una portata ampia. Tale interpretazione è corroborata dal carattere non tassativo, espresso dal vocabolo «come», delle operazioni menzionate in detta disposizione. |
36 |
Nel caso di specie, l’amministrazione tributaria lettone richiede all’operatore economico interessato di ripristinare l’accesso degli organi di tale amministrazione ai numeri di telaio dei veicoli oggetto degli annunci pubblicati sul suo portale Internet e di fornire informazioni sugli annunci pubblicati su detto portale. |
37 |
Una richiesta siffatta, con la quale l’amministrazione tributaria di uno Stato membro domanda a un operatore economico di comunicare e di mettere a disposizione dati personali che quest’ultimo è tenuto a fornirle e a metterle a sua disposizione ai sensi della normativa nazionale di tale Stato membro, avvia un processo di «raccolta» di tali dati, ai sensi dell’articolo 4, punto 2, del regolamento 2016/679. |
38 |
Inoltre, la comunicazione e la messa a disposizione di detti dati a tale amministrazione da parte dell’operatore economico in questione comportano un «trattamento» ai sensi dell’articolo 4, punto 2. |
39 |
In secondo luogo, si deve esaminare se l’operazione con cui l’amministrazione tributaria di uno Stato membro cerca di raccogliere presso un operatore economico i dati personali di taluni contribuenti possa essere considerata esclusa dall’ambito di applicazione del regolamento 2016/679 ai sensi del suo articolo 2, paragrafo 2. |
40 |
A tale riguardo, occorre ricordare, innanzitutto, che tale disposizione prevede eccezioni all’ambito di applicazione di tale regolamento, quale definito al suo articolo 2, paragrafo 1, e che tali eccezioni devono essere interpretate restrittivamente (sentenza del 16 luglio 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559, punto 84). |
41 |
In particolare, l’articolo 2, paragrafo 2, lettera d), del regolamento 2016/679 prevede che quest’ultimo non si applichi al trattamento di dati personali effettuato dalle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali. |
42 |
Come emerge dal considerando 19 del regolamento in parola, tale eccezione è motivata dalla circostanza che i trattamenti dei dati personali, da parte delle autorità competenti e per le succitate finalità, sono disciplinati da un atto specifico dell’Unione, ossia la direttiva 2016/680, la quale è stata adottata il medesimo giorno del regolamento 2016/679 e definisce, al suo articolo 3, punto 7, ciò che debba intendersi per «autorità competente», definizione questa che deve essere applicata, per analogia, all’articolo 2, paragrafo 2, lettera d) di tale regolamento [v., in tal senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 69]. |
43 |
Dal considerando 10 della direttiva 2016/680 si evince che la nozione di «autorità competente» deve essere intesa in relazione alla protezione dei dati personali nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia, tenuto conto degli adeguamenti che possono al riguardo risultare necessari in considerazione della specificità di tali settori. Inoltre, il considerando 11 della direttiva in parola precisa che il regolamento 2016/679 si applica al trattamento dei dati personali che venga effettuato da un’«autorità competente», ai sensi dell’articolo 3, punto 7, di detta direttiva, ma per finalità diverse da quelle previste da quest’ultima [sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 70]. |
44 |
Pertanto, quando l’amministrazione tributaria di uno Stato membro richiede a un operatore economico di comunicarle dati personali relativi a taluni contribuenti ai fini della riscossione delle imposte e della lotta all’evasione fiscale, non appare che tale amministrazione possa essere considerata un’«autorità competente» ai sensi dell’articolo 3, punto 7, della direttiva 2016/680, né perciò che siffatte richieste di informazioni possano rientrare nell’eccezione prevista dall’articolo 2, paragrafo 2, lettera d), del regolamento 2016/679. |
45 |
Inoltre, anche se non è escluso che i dati personali di cui trattasi nel procedimento principale possano essere utilizzati nell’ambito dell’azione penale esercitabile, in caso di violazione in materia tributaria, contro alcune delle persone interessate, non appare che tali dati siano stati raccolti con lo scopo specifico di esercitare tale azione penale o nell’ambito di attività dello Stato in materia di diritto penale (v., in tal senso, sentenza del 27 settembre 2017, Puškár, C‑73/16, EU:C:2017:725, punto 40). |
46 |
Pertanto, la raccolta, da parte dell’amministrazione tributaria di uno Stato membro, di dati personali relativi agli annunci di vendita di veicoli pubblicati sul sito Internet di un operatore economico rientra nell’ambito di applicazione materiale del regolamento 2016/679 e, di conseguenza, deve rispettare, in particolare, i principi applicabili al trattamento dei dati personali di cui all’articolo 5 di tale regolamento. |
47 |
Alla luce di tutte le considerazioni che precedono, si deve rispondere alla prima questione dichiarando che le disposizioni del regolamento 2016/679 devono essere interpretate nel senso che è soggetta ai requisiti di tale regolamento, in particolare a quelli di cui all’articolo 5, paragrafo 1, di quest’ultimo, la raccolta, da parte dell’amministrazione tributaria di uno Stato membro presso un operatore economico, di informazioni riguardanti una quantità significativa di dati personali. |
Sulla seconda questione
48 |
Con la seconda questione, il giudice del rinvio chiede, in sostanza, se le disposizioni del regolamento 2016/679 debbano essere interpretate nel senso che l’amministrazione tributaria di uno Stato membro può derogare alle disposizioni dell’articolo 5, paragrafo 1, di detto regolamento ancorché siffatto diritto non le sia stato riconosciuto dal diritto nazionale di tale Stato membro. |
49 |
In via preliminare, va ricordato che, come risulta dal suo considerando 10, il regolamento 2016/679 mira in particolare ad assicurare un elevato livello di protezione delle persone fisiche all’interno dell’Unione. |
50 |
A tal fine, i capi II e III del regolamento 2016/679 enunciano, rispettivamente, i principi che disciplinano il trattamento dei dati personali e i diritti dell’interessato che devono essere rispettati in qualsiasi trattamento di dati personali. In particolare, qualsiasi trattamento di dati personali deve, in particolare, essere conforme ai principi applicabili al trattamento di tali dati enunciati all’articolo 5 di detto regolamento (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 208). |
51 |
L’articolo 23 del regolamento 2016/679, tuttavia, consente all’Unione e agli Stati membri di adottare «misure legislative» che limitino la portata degli obblighi e dei diritti previsti, segnatamente, dall’articolo 5 di tale regolamento, nella misura in cui corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22 di tale regolamento, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare importanti obiettivi di interesse pubblico generale dell’Unione o dello Stato membro interessato, come, in particolare, un rilevante interesse economico o finanziario, anche in materia di bilancio e tributaria. |
52 |
A tal proposito, dal considerando 41 del regolamento 2016/679 risulta che il riferimento in tale regolamento a una «misura legislativa» non richiede necessariamente l’adozione di un atto legislativo da parte di un parlamento. |
53 |
Ciò premesso, occorre ricordare che, come indicato al considerando 4, il regolamento 2016/679 rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, tra cui, in particolare, la protezione dei dati personali. |
54 |
Orbene, ai sensi dell’articolo 52, paragrafo 1, prima frase, della Carta, eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti da quest’ultima, che comprendono, segnatamente, il diritto al rispetto della vita privata, garantito dall’articolo 7 della Carta, e il diritto alla protezione dei dati di carattere personale, sancito dall’articolo 8 della Carta, devono essere previste dalla legge, il che implica, in particolare, che la base giuridica che consente l’ingerenza in tali diritti deve definire essa stessa la portata della limitazione dell’esercizio del diritto considerato (v., in tal senso, sentenza del 6 ottobre 2020, Privacy International, C‑623/17, EU:C:2020:790, punto 65 e giurisprudenza ivi citata). |
55 |
A tal proposito, la Corte ha dichiarato, inoltre, che la normativa recante una misura che consenta un’ingerenza siffatta deve prevedere regole chiare e precise che disciplinino la portata e l’applicazione della misura in questione e fissino requisiti minimi, di modo che le persone i cui dati personali siano stati trasferiti dispongano di garanzie sufficienti che consentano di proteggere efficacemente tali dati contro i rischi di abusi [v., in tal senso, sentenza del 2 marzo 2021, Prokuratuur (Condizioni di accesso ai dati relativi alle comunicazioni elettroniche), C‑746/18, EU:C:2021:152, punto 48 e giurisprudenza ivi citata]. |
56 |
Di conseguenza, qualsiasi misura adottata ai sensi dell’articolo 23 del regolamento 2016/679 deve, come il legislatore dell’Unione ha, del resto, sottolineato nel considerando 41 di tale regolamento, essere chiara e precisa, e la sua applicazione prevedibile per le persone che vi sono sottoposte. In particolare, queste ultime devono essere in grado di individuare le circostanze e le condizioni in cui può essere limitata la portata dei diritti conferiti loro dal suddetto regolamento. |
57 |
Dalle considerazioni che precedono discende che l’amministrazione tributaria di uno Stato membro non può derogare alle disposizioni dell’articolo 5 del regolamento 2016/679 in assenza di una base giuridica chiara e precisa nel diritto dell’Unione o nel diritto nazionale, la cui applicazione sia prevedibile per le persone che vi sono sottoposte, e che contempli le circostanze e le condizioni in cui può essere limitata la portata degli obblighi e dei diritti previsti da tale articolo 5. |
58 |
Pertanto, si deve rispondere alla seconda questione dichiarando che le disposizioni del regolamento 2016/679 devono essere interpretate nel senso che l’amministrazione tributaria di uno Stato membro non può derogare alle disposizioni dell’articolo 5, paragrafo 1, di detto regolamento se un diritto siffatto non le è stato riconosciuto da una misura legislativa ai sensi dell’articolo 23, paragrafo 1, del medesimo regolamento. |
Sulle questioni dalla terza alla nona
59 |
Con le questioni dalla terza alla nona, che devono essere esaminate congiuntamente, il giudice del rinvio chiede, in sostanza, se le disposizioni del regolamento 2016/679 debbano essere interpretate nel senso che ostano a che l’amministrazione tributaria di uno Stato membro imponga a un fornitore di servizi di annunci pubblicati su Internet di comunicarle, per un periodo di tempo indeterminato e senza che sia specificata la finalità di tale richiesta di comunicazione, informazioni relative a tutti i contribuenti che abbiano pubblicato annunci in una delle sezioni del suo portale Internet. |
60 |
In via preliminare, occorre rilevare che in una situazione come quella oggetto del procedimento principale possono aver luogo due trattamenti di dati personali. Come risulta dai punti 37 e 38 della presente sentenza, si tratta della raccolta di dati personali effettuata dall’amministrazione tributaria presso il fornitore di servizi interessato e, in tale contesto, della comunicazione mediante trasmissione di detti dati da parte di tale fornitore a detta amministrazione. |
61 |
Come risulta dalla giurisprudenza citata al punto 50 della presente sentenza, ciascuno di tali trattamenti deve, fatte salve le deroghe consentite dall’articolo 23 del regolamento 2016/679, rispettare i principi applicabili al trattamento dei dati personali di cui all’articolo 5 di tale regolamento e i diritti dell’interessato di cui agli articoli da 12 a 22 dello stesso. |
62 |
Nel caso di specie, il giudice del rinvio si interroga, in particolare, sul fatto che, da un lato, i trattamenti menzionati al punto 60 della presente sentenza riguardano informazioni in quantità illimitata che riguardano un periodo di tempo indeterminato e, dall’altro lato, che la finalità di tali trattamenti non è precisata nella richiesta di informazioni. |
63 |
A tal proposito, va sottolineato, in primo luogo, che l’articolo 5, paragrafo 1, lettera b), del regolamento 2016/679 prevede che i dati personali debbano essere raccolti, in particolare, per finalità determinate, esplicite e legittime. |
64 |
Anzitutto, il requisito secondo cui le finalità del trattamento devono essere determinate implica, come risulta dal considerando 39 di detto regolamento, che queste ultime devono essere individuate, al più tardi, al momento della raccolta dei dati personali. |
65 |
Le finalità del trattamento, poi, devono essere esplicite, il che significa che devono essere chiaramente indicate. |
66 |
Infine, tali finalità devono essere legittime. È necessario perciò che garantiscano un trattamento lecito ai sensi dell’articolo 6, paragrafo 1, di detto regolamento. |
67 |
I trattamenti di cui al punto 60 della presente sentenza sono avviati dalla richiesta di comunicazione di dati personali che l’amministrazione tributaria lettone rivolge al fornitore di servizi di annunci pubblicati su Internet. A tal proposito, appare che ai sensi dell’articolo 15, paragrafo 6, della legge sulle imposte e sulle tasse, tale fornitore sia tenuto a soddisfare una siffatta richiesta. |
68 |
Alla luce delle considerazioni esposte nei punti 64 e 65 della presente sentenza, è necessario che le finalità di detti trattamenti siano chiaramente indicate in tale richiesta. |
69 |
A condizione che le finalità così indicate in detta richiesta siano necessarie per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investita l’amministrazione tributaria, tale circostanza è sufficiente, come risulta dall’articolo 6, paragrafo 1, primo comma, parte iniziale e lettera e), del regolamento 2016/679, in combinato disposto con l’articolo 6, paragrafo 3, secondo comma, di detto regolamento, affinché tali trattamenti soddisfacciano anche il requisito di liceità richiamato al punto 66 della presente sentenza. |
70 |
A tal proposito, occorre ricordare che la riscossione delle imposte e la lotta all’evasione fiscale devono essere considerate compiti di interesse pubblico ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera e), del regolamento 2016/679 (v., per analogia, sentenza del 27 settembre 2017, Puškár, C‑73/16, EU:C:2017:725, punto 108). |
71 |
Ne consegue che, nel caso in cui la comunicazione dei dati personali di cui trattasi non si fondi direttamente sulla disposizione di legge che ne costituisce la base, ma risulti da una richiesta dell’autorità pubblica competente, è necessario che tale richiesta precisi le finalità specifiche di detta raccolta di dati in relazione al compito di interesse pubblico o all’esercizio di pubblici poteri, al fine di consentire al destinatario della richiesta di assicurarsi della liceità della trasmissione dei dati personali di cui trattasi e ai giudici nazionali di controllare la legittimità dei trattamenti in questione. |
72 |
In secondo luogo, ai sensi dell’articolo 5, paragrafo 1, lettera c), del regolamento 2016/679, i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. |
73 |
A tal proposito, si deve rammentare che, secondo costante giurisprudenza, le deroghe e le restrizioni al principio della protezione di simili dati devono avere luogo nei limiti dello stretto necessario [v., in tal senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 110 e giurisprudenza ivi citata]. |
74 |
Ne consegue che il titolare del trattamento, anche quando agisce nel contesto del compito di interesse pubblico di cui è investito, non può raccogliere dati personali in modo generalizzato e indiscriminato e deve astenersi dal raccogliere dati che non siano strettamente necessari rispetto alle finalità del trattamento. |
75 |
Nel caso di specie, occorre rilevare che, come risulta dai punti da 17 a 19 della presente sentenza, l’amministrazione tributaria lettone ha richiesto all’operatore economico interessato di comunicarle dati relativi agli annunci di vendita di autoveicoli pubblicati sul suo sito Internet tra il 14 luglio e il 31 agosto 2018 e, nel caso in cui l’accesso a tali informazioni non potesse essere ripristinato, di fornirle, entro il terzo giorno di ogni mese, i dati relativi agli annunci di vendita di autoveicoli pubblicati sul suo sito Internet nel mese precedente, senza che quest’ultima richiesta fosse sottoposta ad alcun limite temporale. |
76 |
Alla luce delle considerazioni esposte al punto 74 della presente sentenza, è compito del giudice del rinvio verificare se la finalità della raccolta di tali dati possa essere conseguita senza che l’amministrazione tributaria lettone abbia potenzialmente a propria disposizione i dati relativi a tutti gli annunci di vendita di autoveicoli pubblicati sul sito Internet di detto operatore e, in particolare, se sia concepibile che tale amministrazione individui taluni annunci mediante criteri specifici. |
77 |
In tale contesto, va sottolineato che, conformemente al principio di responsabilizzazione di cui all’articolo 5, paragrafo 2, del regolamento 2016/679, il titolare del trattamento deve essere in grado di comprovare di aver rispettato i principi applicabili al trattamento dei dati personali di cui al paragrafo 1 di tale articolo. |
78 |
Pertanto, spetta all’amministrazione tributaria lettone dimostrare di essersi adoperata, conformemente all’articolo 25, paragrafo 2, di tale regolamento, per ridurre al minimo possibile la quantità di dati personali da raccogliere. |
79 |
Per quanto riguarda il fatto che la richiesta di informazioni avanzata dall’amministrazione tributaria lettone non prevede alcun limite temporale nel caso di mancato ripristino, da parte del fornitore di servizi di annunci interessato, dell’accesso agli annunci pubblicati nel periodo coperto dalla richiesta, occorre ricordare che, in ossequio al principio di minimizzazione dei dati, il titolare del trattamento è del pari tenuto a limitare il periodo di raccolta dei dati personali di cui trattasi a quanto strettamente necessario, alla luce della finalità del trattamento previsto. |
80 |
Pertanto, il periodo oggetto della raccolta non può superare la durata strettamente necessaria per raggiungere l’obiettivo di interesse generale perseguito. |
81 |
Come risulta dal punto 77 della presente sentenza, l’onere della prova al riguardo è a carico dell’amministrazione tributaria lettone. |
82 |
Tuttavia, il fatto che tali dati siano raccolti senza che l’amministrazione tributaria lettone abbia fissato, nella richiesta stessa di informazioni, alcun limite temporale per siffatto trattamento non consente, in quanto tale, di ritenere che la durata del trattamento oltrepassi il periodo strettamente necessario per raggiungere l’obiettivo perseguito. |
83 |
In tale contesto, si deve tuttavia rammentare che, per soddisfare il requisito di proporzionalità, che trova espressione nell’articolo 5, paragrafo 1, lettera c), del regolamento 2016/679 [v., in tal senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 98 e giurisprudenza ivi citata], la normativa su cui si fonda il trattamento deve prevedere regole chiare e precise che disciplinino la portata e l’applicazione della misura de qua e impongano requisiti minimi in modo che le persone i cui dati personali sono interessati dispongano di garanzie sufficienti che permettano di proteggere efficacemente tali dati contro il rischio di abusi. Tale normativa dev’essere giuridicamente vincolante nell’ambito dell’ordinamento nazionale e, in particolare, indicare in quali circostanze e a quali condizioni una misura che preveda il trattamento di tali dati possa essere adottata, garantendo così che l’ingerenza sia limitata allo stretto necessario. (sentenza del 6 ottobre 2020, Privacy International, C‑623/17, EU:C:2020:790, punto 68 e giurisprudenza ivi citata). |
84 |
Ne consegue che la normativa nazionale che disciplina una richiesta di informazioni come quella di cui trattasi nel procedimento principale deve fondarsi su criteri oggettivi per definire le circostanze e le condizioni in cui un fornitore di servizi online deve comunicare dati personali relativi ai propri utenti (v., in tal senso, sentenza del 6 ottobre 2020, Privacy International, C‑623/17, EU:C:2020:790, punto 78 e giurisprudenza ivi citata). |
85 |
Alla luce di tutte le considerazioni che precedono, occorre rispondere alle questioni dalla terza alla nona dichiarando che le disposizioni del regolamento 2016/679 devono essere interpretate nel senso che non ostano a che l’amministrazione tributaria di uno Stato membro imponga a un fornitore di servizi di annunci pubblicati su Internet di comunicarle informazioni relative ai contribuenti che abbiano pubblicato annunci in una delle sezioni del suo portale Internet, purché, segnatamente, tali dati siano necessari rispetto alle finalità specifiche per le quali sono raccolti e il periodo oggetto della raccolta di detti dati non oltrepassi la durata strettamente necessaria per raggiungere l’obiettivo di interesse generale perseguito. |
Sulle spese
86 |
Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione. |
Per questi motivi, la Corte (Quinta Sezione) dichiara: |
|
|
|
Firme |
( *1 ) Lingua processuale: il lettone.