1.

Un tassista ferma il suo veicolo al bordo della strada a Riga. Mentre un filobus della Rīgas satiksme (in prosieguo: la «resistente») sta passando accanto, un passeggero del taxi apre improvvisamente la portiera. Ne segue un urto che danneggia il filobus. La Rīgas satiksme chiede alla polizia (in prosieguo: la «ricorrente») di comunicarle l’identità del passeggero, intendendo agire nei suoi confronti in sede civile per ottenere il risarcimento del danno causato al filobus. La polizia comunica alla Rīgas satiksme solo il nome e il cognome del passeggero, rifiutandosi di fornire il numero del documento di identità e l’indirizzo dello stesso.

2.

In tale contesto, il giudice del rinvio chiede se l’articolo 7, lettera f), della direttiva 95/46/CE (in prosieguo: la «direttiva») ( 2 ) imponga un obbligo di comunicare tutti i dati personali necessari per avviare un procedimento civile contro la persona ritenuta responsabile di un’infrazione amministrativa. Esso chiede inoltre se la risposta alla questione sarebbe diversa ove tale persona sia un minore.

3.

L’articolo 7 dispone che «[o]gni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni».

4.

Ai sensi dell’articolo 8:

5.

L’articolo 16, paragrafo 1, TFUE dispone che «[o]gni persona ha diritto alla protezione dei dati di carattere personale che la riguardano».

6.

L’articolo 2 contiene una serie di definizioni ai fini della direttiva.

(…)

(…)».

7.

L’articolo 5, del capo II, recante il titolo «Condizioni generali di liceità dei trattamenti di dati personali», dispone che gli «Stati membri precisano, nei limiti delle disposizioni del presente capo, le condizioni alle quali i trattamenti di dati personali sono leciti».

8.

L’articolo 6, paragrafo 1, ha il seguente tenore: «Gli Stati membri dispongono che i dati personali devono essere:

(…)

(…)».

9.

A norma dell’articolo 7, «[g]li Stati membri dispongono che il trattamento di dati personali può essere effettuato soltanto quando:

10.

L’articolo 8 vieta, in linea di principio, il trattamento riguardante categorie particolari di dati, come i dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche. Tuttavia, esso prevede una serie di eccezioni.

11.

In particolare, il divieto non si applica, a norma dell’articolo 8, paragrafo 2, lettera e), qualora «il trattamento (…) sia necessario per costituire, esercitare o difendere un diritto per via giudiziaria».

12.

L’articolo 8, paragrafo 5, dispone quanto segue:

«(…) Gli Stati membri possono prevedere che i trattamenti di dati riguardanti sanzioni amministrative o procedimenti civili siano ugualmente effettuati sotto controllo dell’autorità pubblica».

13.

In base all’articolo 8, paragrafo 7, «[g]li Stati membri determinano a quali condizioni un numero nazionale di identificazione o qualsiasi altro mezzo identificativo di portata generale può essere oggetto di trattamento».

14.

A norma dell’articolo 14, «[g]li Stati membri riconoscono alla persona interessata il diritto:

(…)».

15.

La direttiva è stata ora abrogata dal regolamento (UE) n. 2016/679 ( 3 ) che, pur essendo entrato in vigore il 24 maggio 2016, troverà applicazione solo a partire dal 25 maggio 2018.

16.

L’articolo 7 del Fizisko personu datu aizsardzības likums (legge sulla protezione dei dati personali) è formulato in termini simili all’articolo 7 della direttiva. Esso dispone che il trattamento di dati personali è consentito, salvo che la medesima legge disponga diversamente, solo se ricorre almeno uno dei seguenti presupposti:

17.

Nel dicembre 2012 si è verificato un sinistro stradale a Riga. Un tassista aveva fermato il suo veicolo al bordo della strada. Mentre un filobus della Rīgas satiksme stava passando accanto al taxi, il passeggero del taxi ha aperto la portiera, la quale ha urtato e danneggiato il filobus. A seguito dell’incidente viene avviato un procedimento amministrativo. Viene redatto un verbale con cui è stato constatato che era stata commessa un’infrazione amministrativa.

18.

Ritenendo, inizialmente, che il menzionato sinistro fosse imputabile al tassista, la Rīgas satiksme ha chiesto un risarcimento alla società di assicurazioni presso la quale era assicurato, per la responsabilità civile, il proprietario del taxi. Tuttavia, detta società le ha comunicava che non avrebbe pagato alcun indennizzo, in quanto l’incidente era stato provocato non dal conducente del taxi ma dal passeggero contro cui la Rīgas satiksme poteva agire in sede civile.

19.

La Rīgas satiksme si è dunqe rivolta al Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvaldes Satiksmes administratīvo pārkāpumu izskatīšanas birojs (Ufficio della polizia di sicurezza della regione di Riga responsabile per le infrazioni amministrative in materia di circolazione stradale) (in prosieguo: la «polizia»), chiedendo che le venissero fornite informazioni sulla persona nei cui confronti era stata irrogata la sanzione amministrativa per il sinistro. Specificamente, essa ha chiesto di comunicarle nome e cognome, numero del documento di identità e indirizzo del passeggero del taxi oltre alle copie dei documenti in cui erano riportate le spiegazioni fornite dal conducente del taxi e dal passeggero sulle circostanze dell’incidente. La Rīgas satiksme ha indicato alla polizia che le informazioni richieste sarebbero state utilizzate esclusivamente ai fini dell’azione civile contro detta persona.

20.

La polizia ha accolto la domanda della Rīgas satiksme solo parzialmente, fornendole unicamente il nome e il cognome del passeggero del taxi. Essa si è rifiutata di comunicare il numero del documento di identità e l’indirizzo di tale persona e non ha trasmesso alla Rīgas satiksme nemmeno le spiegazioni fornite dalle persone coinvolte nell’incidente.

21.

Nella sua decisione, la polizia ha affermato che i documenti dei procedimenti amministrativi che portano all’irrogazione di una sanzione possono essere trasmessi solo alle parti di tali procedimenti. La Rīgas satiksme non era parte. Inoltre, per quanto riguarda il numero del documento di identità e l’indirizzo, la Datu valsts inspekcija (Agenzia lettone per la protezione dei dati) vieta di fornire informazioni in merito.

22.

Conformemente all’articolo 261 del Latvijas Administratīvo pārkāpumu kodekss (codice lettone delle infrazioni amministrative), nei procedimenti amministrativi sanzionatori una persona può ottenere su sua richiesta esplicita la qualità di parte lesa. La Rīgas satiksme non ha esercitato il diritto di chiedere il riconoscimento di tale qualità nel procedimento amministrativo di cui trattasi.

23.

La Rīgas satiksme ha avviato un procedimento amministrativo contro la decisione della polizia, nella parte in cui ha rifiutato di comunicare il numero del documento di identità e l’indirizzo del passeggero del taxi.

24.

Con sentenza del 16 maggio 2014, l’Administratīvā rajona tiesa (Tribunale amministrativo regionale di primo grado) ha accolto il ricorso della Rīgas satiksme. Esso ha ordinato alla polizia di fornire le informazioni indicate nella domanda, vale a dire il numero del documento di identità e l’indirizzo del passeggero del taxi.

25.

La polizia ha impugnato tale sentenza dinanzi all’Augstākā tiesa (Corte suprema, Lettonia), giudice del rinvio nella presente causa, il quale ha chiesto anzitutto un parere all’Agenzia lettone per la protezione dei dati. Quest’ultima ha indicato che, nel caso di specie, i dati non potevano essere comunicati a norma dell’articolo 7, punto 6, della legge sulla protezione dei dati personali, in quanto il codice delle infrazioni amministrative menziona le persone fisiche o giuridiche alle quali la polizia nazionale può trasmettere informazioni connesse a un procedimento. Pertanto, la comunicazione dei dati personali relativi al procedimento amministrativo sanzionatorio può avvenire solo conformemente ai punti 3 e 5 di detto articolo. Inoltre, l’articolo 7 della legge citata non obbliga il responsabile del trattamento (nella fattispecie, la polizia) a trattare i dati, ma semplicemente lo autorizza a farlo.

26.

L’Agenzia lettone per la protezione dei dati ha inoltre indicato che la Rīgas satiksme disponeva di mezzi alternativi per ottenere le informazioni: presentare una domanda motivata all’Iedzīvotāju reģistrs (anagrafe civile) oppure, in forza degli articoli 98, 99 e 100 del Civilprocesa likums (codice lettone di procedura civile), adire l’autorità giudiziaria chiedendo l’esibizione delle prove. Il rispettivo giudice può in tal caso ordinare alla polizia di comunicare i dati personali di cui la Rīgas satiksme necessita per esercitare un’azione civile nei confronti della persona interessata.

27.

Il giudice del rinvio nutre dubbi in ordine alle modalità alternative per ottenere i dati personali menzionate dall’Agenzia lettone per la protezione dei dati. Qualora ci si rivolgesse all’anagrafe civile indicando solo nome e cognome del passeggero del taxi, potrebbe accadere che tali dati corrispondano a varie persone. In tal caso la persona interessata potrebbe essere identificata solo mediante dati aggiuntivi, come quelli richiesti nella presente causa (il numero del documento di identità e l’indirizzo). L’Agenzia lettone per la protezione dei dati aveva citato inoltre le disposizioni del codice di procedura civile in materia di esibizione delle prove. Ai sensi dell’articolo 128 del codice di procedura civile, l’atto di citazione deve indicare nome, cognome e numero del documento di identità (ove sia noto) del convenuto, nonché il suo domicilio legale e l’indirizzo supplementare indicato nella sua registrazione anagrafica o, in mancanza, il suo domicilio eletto. Di conseguenza, l’attore dovrebbe conoscere quanto meno il luogo di residenza del convenuto.

28.

Secondo il giudice del rinvio, le modalità alternative per ottenere i dati personali necessari risultano quindi confuse o inefficaci. Di conseguenza, per poter tutelare i propri interessi legittimi, potrebbe essere necessario per la Rīgas satiksme ottenere dalla polizia nazionale i dati personali richiesti.

29.

Il giudice del rinvio solleva inoltre dubbi riguardo all’interpretazione del termine «necessario» nell’articolo 7, lettera f), e ritiene che tale interpretazione sia dirimente ai fini dell’esito del presente procedimento.

30.

L’Augstākās tiesas (Administratīvo lietu departaments) [Corte suprema, (Sezione del contenzioso amministrativo), Lettonia] ha deciso quindi di sospendere il procedimento e di sottoporre alla Corte di giustizia la seguente questione pregiudiziale:

«Se la frase “è necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati” contenuta nell’articolo 7, lettera f), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, debba essere interpretata nel senso che la Polizia nazionale è tenuta a comunicare alla Rīgas satiksme i dati personali da questa richiesti, che sono necessari per agire giudizialmente in sede civile. Se ai fini della risposta a tale questione rilevi il fatto che, come risulta dai documenti agli atti, il passeggero del taxi, di cui la Rīgas satiksme intende ottenere i dati, fosse minorenne al momento del sinistro».

31.

Hanno presentato osservazioni scritte la Rīgas satiksme, la Commissione, e i governi ceco, spagnolo, lettone, austriaco e portoghese. La Commissione e il governo lettone hanno svolto osservazioni orali all’udienza del 24 novembre 2016.

32.

Il giudice del rinvio chiede essenzialmente se, in base alla direttiva, esista, in capo al responsabile del trattamento dei dati, un obbligo di comunicare i dati che permettono l’identificazione di una persona ritenuta responsabile di un’infrazione amministrativa, così da permettere alla Rīgas satiksme di avviare un procedimento civile.

33.

La mia risposta concisa a detta specifica questione sollevata dal giudice del rinvio è «no». La direttiva in sé non prevede alcun obbligo in tal senso. Essa contempla soltanto una facoltà (nel senso di un permesso o autorizzazione) a farlo, purché ricorra un certo numero di elementi. La facoltà di compiere una certa attività in base alla legge costituisce una categoria distinta rispetto all’obbligo di compiere tale attività.

34.

Tuttavia, alla luce dei fatti di causa, la questione non si conclude qui. Quantomeno in parte, vale a dire rispetto alle informazioni che sono state effettivamente fornite, la Corte è anche chiamata a stabilire le condizioni per l’applicazione dell’articolo 7, lettera f), della direttiva nonché la natura e la portata dei dati personali che un richiedente i dati può ottenere in applicazione della suddetta disposizione.

35.

Le presenti conclusioni sono quindi strutturate come segue: anzitutto, illustrerò perché, a mio avviso, dalla direttiva non derivi alcun obbligo di comunicazione a carico del soggetto in possesso delle informazioni (sezione A). In secondo luogo, al fine di fornire al giudice del rinvio una risposta completa e utile nel caso di specie, proporrò le condizioni per l’applicazione dell’articolo 7, lettera f), della direttiva e la portata dei dati personali che possono essere comunicati qualora tali condizioni siano soddisfatte (sezione B).

36.

Il giudice del rinvio chiede se, in forza dell’articolo 7, lettera f), della direttiva, debbano essere comunicati dati personali al fine di avviare un procedimento civile. In altri termini, detto giudice chiede se la direttiva stessa imponga un obbligo di comunicazione dei menzionati dati personali.

37.

A mio avviso, dalla direttiva non può ricavarsi un obbligo in tal senso. Ciò risulta inequivocabilmente dalla formulazione e dalla struttura nonché dall’obiettivo stesso della direttiva.

38.

Partendo dalla struttura e dalla ratio della direttiva, la regola generale alla base di quest’ultima è che i dati personali non dovrebbero, in linea di principio, essere trattati, così da assicurare un livello elevato di protezione del diritto alla vita privata ( 4 ). Il trattamento dei dati personali deve pertanto, per sua natura, restare eccezionale.

39.

L’articolo 7 si colloca all’interno di tale struttura. Esso prevede una serie di eccezioni alla regola generale, in base alla quale il trattamento è lecito a determinate condizioni, rigorosamente formulate. Le categorie di cui all’articolo 7 costituiscono quindi eccezioni alla regola generale.

40.

In tale contesto, il testo dell’articolo 7 conferma chiaramente che le categorie elencate devono essere trattate come una mera facoltà o possibilità – contrapposta a un obbligo – di trattare i dati personali quando la situazione concreta ricade in una delle eccezioni previste dalle norme. In base alla disposizione di cui trattasi, «[g]li Stati membri dispongono che il trattamento di dati personali può essere effettuato soltanto quando (…)» ( 5 ). Tale formulazione, utilizzata anche in altre versioni linguistiche ( 6 ), indica chiaramente che le eccezioni di cui all’articolo 7 costituiscono effettivamente delle eccezioni. Esse non possono essere interpretate come un obbligo di trattare i dati personali.

41.

Il fatto che quantomeno alcune tra le eccezioni previste nell’articolo 7 abbiano effetto diretto ( 7 ) non modifica tale conclusione. Esse non accordano, di per sé, al richiedente, un diritto ad ottenere le informazioni, né creano, in capo a colui che detiene dette informazioni, un obbligo conseguente di comunicarle. L’articolo 7 prevede piuttosto regole generali volte a permettere all’incaricato del trattamento di stabilire quando, se, come e in che misura esso possa trattare i dati personali acquisiti.

42.

Infine, l’obiettivo generale della direttiva è quello di indicare limiti o confini comuni, a livello dell’Unione, per il trattamento dei dati personali. I motivi e le ragioni concreti e specifici del trattamento saranno in genere reperibili nel diritto nazionale o in altri strumenti del diritto dell’Unione. In altri termini, la direttiva prevede dei limiti al trattamento dei dati e non un incentivo ad esso.

43.

Così, la formulazione, la struttura, la ratio e la finalità della direttiva indicano tutte, chiaramente, che l’articolo 7, lettera f), della direttiva non può essere interpretato nel senso che prevede, di per sé, un obbligo di comunicare i dati personali.

44.

Nell’ambito di una più ampia considerazione sussidiaria e sistematica, si potrebbe anche aggiungere che una struttura siffatta non è affatto inusuale in altri ambiti del diritto dell’Unione, nei quali strumenti di diritto derivato dell’Unione europea riguardano, direttamente o indirettamente, i dati personali.

45.

Ad esempio, neppure la direttiva 2002/58/CE sulla privacy e le comunicazioni elettroniche ( 8 ) che integra la direttiva 95/46 per il settore delle comunicazioni elettroniche contiene un obbligo di comunicazione. Nella sentenza Promusicae la Corte ha chiarito che la prima di esse non esclude che gli Stati membri possano prevedere un obbligo di divulgare dati personali nell’ambito di un procedimento civile, ma neppure li vincola a farlo ( 9 ). La decisione è quindi rimessa agli Stati membri. Non si tratta di una conseguenza necessaria del diritto dell’Unione.

46.

Analogamente, la Corte ha dichiarato che neppure altre direttive ( 10 ), che riguardano i dati personali, ma mirano prevalentemente a garantire una tutela efficace della proprietà intellettuale nella società dell’informazione ( 11 ), impongono agli Stati membri di istituire un obbligo di comunicare dati personali per garantire l’effettiva tutela del diritto d’autore nel contesto di un procedimento civile ( 12 ).

47.

Come dichiarato dal giudice del rinvio, la resistente ha effettivamente ottenuto alcuni dati personali, vale a dire il nome e il cognome della persona interessata. La sua richiesta è stata respinta quanto al resto. Tale rigetto deve essere stato, presumibilmente, fondato sul diritto nazionale.

48.

Pertanto, e con riferimento ai dati personali effettivamente comunicati, assume rilievo la questione se tale comunicazione fosse compatibile o meno con l’articolo 7 della direttiva.

49.

Occorre tuttavia chiaramente sottolineare che la parte che segue delle presenti conclusioni si riferisce alla facoltà di comunicare dati personali in una situazione di fatto come quella oggetto del procedimento principale, sempre che la normativa nazionale preveda una base giuridica per tale comunicazione. In altri termini, si tratta di stabilire quali limiti ponga il diritto dell’Unione alla comunicazione dei dati personali in una situazione siffatta e di chiarire, qualora la normativa nazionale preveda la comunicazione di dati personali in una situazione del genere, se tale comunicazione sia compatibile con l’articolo 7, lettera f), della direttiva.

50.

A mio parere, in un caso come quello oggetto del procedimento principale, è perfettamente compatibile con l’articolo 7, lettera f), comunicare dati personali con misura e grado tali da permettere alla parte danneggiata di avviare il procedimento civile.

51.

Nella presente sezione esaminerò quindi, dapprima, la corretta base giuridica per il trattamento dei dati personali ai sensi della direttiva in una situazione di fatto simile. In secondo luogo, enuncerò le condizioni per l’applicazione dell’articolo 7, lettera f), della direttiva. In terzo luogo, esaminerò il caso di specie alla luce di tali condizioni.

52.

Una questione preliminare, discussa tanto nelle osservazioni scritte quanto in quelle orali, verte su quale sia la lettera dell’articolo 7 della direttiva che deve applicarsi in una fattispecie come quella oggetto del procedimento principale.

53.

Le parti e gli intervenienti si sono basati prevalentemente sull’articolo 7, lettera f), cui fa riferimento il giudice del rinvio. Tuttavia, nelle sue osservazioni scritte, il governo austriaco osservava che l’articolo 7, lettera f), della direttiva non è la corretta base giuridica, neppure ai fini della proposizione di un’azione civile. Ciò in quanto esso prevederebbe una giustificazione troppo astratta e imprecisa per il trattamento dei dati. Pertanto, non potrebbe giustificare una siffatta ingerenza nel diritto alla tutela dei dati.

54.

Nelle sue osservazioni scritte la Commissione si concentrava sull’articolo 7, lettera f). Nelle osservazioni orali, tuttavia, essa ha suggerito inoltre che un trattamento dei dati, come quello di cui al procedimento principale, potrebbe rientrare anche nell’ambito dell’articolo 7, lettere c) o e), della direttiva.

55.

L’articolo 7 della direttiva prevede diverse basi giuridiche per il trattamento lecito dei dati, distinguendo tra sei diverse ipotesi. Per poter essere trattati, i dati di cui trattasi, devono rientrare almeno in una delle categorie di cui all’articolo 7. Tuttavia, è chiaro che l’ambito di applicazione e la ratio delle suddette disposizioni sono tra loro diversi.

56.

Più in generale, in astratto, l’articolo 7 contiene tre tipi di eccezioni sulla base delle quali il trattamento dei dati personali può risultare lecito: in primo luogo, quando la persona interessata ha manifestato il proprio consenso [articolo 7, lettera a)]; in secondo luogo, quando sono presunti, in una certa misura, interessi legittimi del responsabile del trattamento o di terzi [articolo 7, lettere da b) a e)], e, in terzo luogo, quando gli interessi legittimi concorrenti non solo devono essere dimostrati, ma devono anche prevalere rispetto all’interesse o ai diritti e alle libertà fondamentali della persona interessata [articolo 7, lettera f)].

57.

L’ambito di applicazione dell’articolo 7, lettera f), è così certamente più ampio di quello di cui alle lettere c) o e) del medesimo articolo. Esso non è collegato a specifiche circostanze di diritto o di fatto, ma è inquadrato in termini piuttosto generali. Tuttavia, la sua applicazione è più rigorosa visto che è subordinata all’effettiva esistenza di interessi legittimi in capo al responsabile del trattamento o a terzi che prevalgano rispetto a quelli della persona interessata, condizione questa che non è richiesta per l’articolo 7, lettere c) o e).

58.

Tuttavia, tralasciando le discussioni dottrinali, occorre sottolineare due aspetti. In primo luogo, le eccezioni di cui all’articolo 7 non si escludono a vicenda. Due di esse o potenzialmente tutte e tre potrebbero quindi esse applicabili a una determinata fattispecie ( 13 ). In secondo luogo, malgrado la formulazione leggermente diversa, è probabile che la differenza pratica in sede di applicazione risulti minima, sempre che sussista un interesse legittimo chiaramente strutturato e credibile.

59.

Tenendo presenti tali considerazioni, ma rimettendone la valutazione al giudice nazionale – che ha piena conoscenza dei fatti di causa e della normativa nazionale indicata nella sua questione e che menziona l’articolo 7, lettera f), della direttiva come eccezione applicabile – ritengo che la Corte debba procedere su tale base.

60.

L’articolo 7, lettera f), contiene due condizioni cumulative. Entrambe devono essere soddisfatte affinché il trattamento dei dati personali sia lecito: in primo luogo, il trattamento dei dati personali deve essere necessario alla realizzazione dell’interesse legittimo perseguito dal responsabile del trattamento oppure dal o dai terzi ai quali tali dati vengono comunicati. In secondo luogo, rispetto a tali interessi non devono essere prevalenti i diritti e le libertà fondamentali della persona interessata ( 14 ).

61.

La seconda condizione è diretta a ponderare gli interessi invocati. A fini didattici, la prima può, di fatto, essere suddivisa in due sotto-condizioni: l’interesse legittimo in sé, da un lato, e il carattere necessario del trattamento, che costituisce un tipo di proporzionalità, dall’altro.

62.

Tre elementi devono quindi essere presenti ai fini dell’articolo 7, lettera f): l’esistenza di un legittimo interesse che giustifica il trattamento (a); la prevalenza di tale interesse rispetto ai diritti e agli interessi della persona interessata (ponderazione degli interessi) (b); e la necessità di procedere al trattamento per permettere la realizzazione degli interessi legittimi (c).

63.

Anzitutto, il trattamento a norma dell’articolo 7, lettera f), della direttiva è subordinato all’esistenza di interessi legittimi del responsabile del trattamento dei dati o di un terzo.

64.

La direttiva non definisce gli interessi legittimi ( 15 ). Spetta quindi al responsabile del trattamento dei dati o all’incaricato del trattamento, sotto il controllo dei giudici nazionali, stabilire se sussista un obiettivo legittimo che possa giustificare un’ingerenza nella vita privata.

65.

La Corte ha già stabilito che la trasparenza ( 16 ) o la protezione dei beni, della salute e della vita familiare ( 17 ) sono interessi legittimi. La nozione di interessi legittimi è sufficientemente elastica da permettere altri tipi di considerazioni. Non ho alcun dubbio che l’interesse di un terzo a ottenere le informazioni personali di una persona che ha danneggiato la sua proprietà, al fine di agire nei confronti di tale persona per ottenere il risarcimento dei danni, possa essere qualificato come interesse legittimo.

66.

La seconda condizione riguarda la ponderazione tra due gruppi di interessi contrastanti, vale a dire gli interessi e i diritti della persona interessata ( 18 ) e gli interessi del responsabile del trattamento o dei terzi. La necessità della ponderazione risulta chiaramente sia dall’articolo 7, lettera f), che dai lavori preparatori della direttiva. Come risulta dal testo di quest’ultima, l’articolo 7, lettera f), richiede che gli interessi legittimi della persona interessata siano ponderati con gli interessi legittimi del responsabile del trattamento o di un terzo. I lavori preparatori confermano che la ponderazione di interessi era prevista già, in forma leggermente differente, nella proposta iniziale della Commissione ( 19 ) nonché nella proposta modificata in prima lettura dal Parlamento europeo ( 20 ).

67.

La Corte ha ritenuto che l’applicazione dell’articolo 7, lettera f), esiga una ponderazione dei contrapposti diritti e interessi in gioco. Occorre tener conto dell’importanza dei diritti della persona interessata derivanti dagli articoli 7 e 8 della Carta ( 21 ). Tale ponderazione deve essere effettuata caso per caso ( 22 ).

68.

La ponderazione è la chiave per la corretta applicazione dell’articolo 7, lettera f). È tale operazione che differenzia completamente l’articolo 7, lettera f), dalle altre disposizioni del medesimo articolo. Essa dipende sempre dalle circostanze del caso specifico. Per tali ragioni la Corte ha sottolineato che gli Stati membri non possono stabilire in modo definitivo, per determinate categorie di dati personali, il risultato della ponderazione dei diritti e degli interessi contrapposti, senza consentire un diverso risultato in ragione delle circostanze specifiche del caso concreto ( 23 ).

69.

Al fine di effettuare utilmente una ponderazione, occorrerebbe tenere in debita considerazione, in particolare, la natura e la sensibilità dei dati richiesti, il loro grado di pubblicità ( 24 ) e la gravità della violazione commessa. Uno dei potenziali elementi da soppesare nel compiere la ponderazione, e che assume rilievo ai fini della presente controversia, è l’età della persona interessata.

70.

Per quanto attiene alla necessità o, in un certo senso, alla proporzionalità minima, la Corte ha dichiarato in termini generali che le deroghe e le limitazioni alla protezione dei dati personali devono operare nei limiti dello stretto necessario ( 25 ). La natura e la quantità dei dati che possono essere trattati non può quindi eccedere quanto necessario per il perseguimento degli interessi legittimi di cui trattasi.

71.

L’esame di proporzionalità è una valutazione del rapporto tra obiettivi e mezzi scelti. I mezzi scelti non possono eccedere quanto necessario. Tale logica opera tuttavia anche nella direzione opposta: i mezzi devono permettere di raggiungere l’obiettivo dichiarato.

72.

Dal punto di vista pratico, il responsabile del trattamento dei dati, chiamato a valutare la necessità, ha due possibilità. Può scegliere di non comunicare nessuna informazione o, se decide di trattare tali informazioni, deve fornire tutte le informazioni necessarie al fine di perseguire gli interessi legittimi di cui trattasi ( 26 ).

73.

Anzitutto, l’articolo 6, paragrafo 1, lettera c), e il considerando 28 della direttiva richiedono che i dati personali siano adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati, anche quando vengono successivamente trattati ( 27 ). Dalle suddette disposizioni consegue, quindi, che i dati comunicati devono essere anche adeguati e pertinenti ai fini del perseguimento degli interessi legittimi.

74.

In secondo luogo, il buon senso chiede di adottare un approccio ragionevole relativamente ai dati che dovrebbero essere effettivamente trattati. Ai richiedenti i dati dovrebbero essere fornite, in effetti, informazioni utili e rilevanti, che siano necessarie e sufficienti a permettere loro di perseguire i loro interessi legittimi, senza dover presentare una richiesta a un altro ente che potrebbe essere anch’esso in possesso di dette informazioni.

75.

Metaforicamente parlando, l’applicazione del criterio di necessità non dovrebbe trasformare il perseguimento di un interesse legittimo in una caccia al tesoro kafkiana, fortemente simile a un episodio di Fort Boyard, in cui i partecipanti sono mandati da una stanza all’altra per raccogliere indizi parziali al fine di capire, alla fine, dove devono andare.

76.

Infine, occorre ribadire che la portata precisa dei dati da comunicare è una questione rimessa al diritto nazionale. Certo, tale diritto può anche prevedere unicamente una siffatta comunicazione parziale, di per sé insufficiente. Ciò è in effetti possibile. Il fatto che la normativa nazionale risulti poco sensata dal punto di vista pratico non rende automaticamente tale normativa incompatibile con il diritto dell’Unione purché essa resti entro i limiti dei poteri di regolamentazione spettanti agli Stati membri. Qui si suggerisce semplicemente che l’articolo 7, lettera f), della direttiva non si oppone alla piena comunicazione di tutte le informazioni necessarie per perseguire efficacemente l’obiettivo legittimo di una persona, a condizione che siano soddisfatte le altre condizioni.

77.

Una volta esposto il quadro generale dell’analisi, torno ora al caso di specie, con la precisazione che, in definitiva, spetta ovviamente al giudice nazionale, in considerazione della sua conoscenza dettagliata dei fatti e della normativa nazionale, adottare una decisione.

78.

La Rīgas Satiksme ha chiesto alla polizia di fornirle l’indirizzo e il numero del documento di identità del passeggero del taxi al fine di avviare un’azione civile diretta ad ottenere il risarcimento dei danni patiti.

79.

In primo luogo, come correttamente osservato dai governi ceco, spagnolo e portoghese, la proposizione di un’azione legale, come nel procedimento principale, è un interesse legittimo, come affermato nell’articolo 7, lettera f).

80.

Ciò trova conferma anche nell’articolo 8, paragrafo 2, lettera e), della direttiva, che prevede la possibilità di trattare determinati dati sensibili qualora «il trattamento riguardi dati (…) necessar[i] per costituire, esercitare o difendere un diritto per via giudiziaria». Se l’esercizio di un’azione legale può giustificare il trattamento di dati sensibili ai sensi dell’articolo 8, non vedo perché esso non possa essere considerato a fortiori un interesse legittimo idoneo a giustificare il trattamento di dati non sensibili ai sensi dell’articolo 7, lettera f). Tale interpretazione scaturisce anche da un approccio pragmatico alla direttiva alla luce degli altri (succitati) strumenti di diritto secondario che cercano di ponderare riservatezza e tutela giurisdizionale effettiva ( 28 ).

81.

In secondo luogo, riguardo alla ponderazione degli interessi non vedo, in generale, perché gli interessi relativi ai diritti fondamentali della persona interessata dovrebbero prevalere rispetto allo specifico legittimo obiettivo della parte lesa di proporre l’azione civile. Vale forse la pena anche di aggiungere, a questo punto, che, di fatto, tutto ciò che la resistente chiede è la possibilità di agire dinanzi a un giudice civile. La comunicazione in sé non comporterebbe quindi nemmeno un qualche cambiamento immediato nella condizione giuridica della persona interessata.

82.

Tuttavia, come osserva correttamente il governo portoghese, è proprio, in particolare, in questa fase di ponderazione che si dovrebbe tener conto dell’età della persona interessata.

83.

Il giudice del rinvio chiede infatti in che misura rilevi il fatto che il passeggero del taxi era minorenne all’epoca dell’incidente. A mio avviso, considerate le specifiche circostanze del caso di specie, tale circostanza è irrilevante.

84.

In linea di principio, la minore età della persona interessata è un fattore che deve essere effettivamente preso in considerazione nel ponderare gli interessi. Tuttavia, le particolari considerazioni che devono essere svolte nei confronti di un minore e l’accresciuta tutela a questo riconosciuta dovrebbero presentare un chiaro collegamento con il tipo di trattamento dei dati in questione. A meno che sia dimostrato con precisione in che modo, in questo particolare caso, la comunicazione potrebbe ledere, ad esempio, lo sviluppo psichico e mentale del minore, non vedo per quale ragione il fatto che il danno sia stato cagionato da un minore debba garantirgli, di fatto, l’immunità dalla responsabilità civile.

85.

Infine, se la ponderazione degli interessi dovesse portare a ritenere che gli interessi della persona interessata non prevalgono su quelli della persona che richiede la comunicazione dei dati personali, sorge la questione finale: quella attinente alla necessità e portata delle informazioni da comunicare.

86.

Ancora una volta, spetta al giudice del rinvio individuare la base giuridica nel diritto nazionale che garantisce tale comunicazione. Una volta che tale base è stata individuata, il criterio della «necessità» ai sensi dell’articolo 7, lettera f), della direttiva, non osta di certo, a mio avviso, alla piena comunicazione di tutte le informazioni necessarie per avviare un’azione civile in conformità del diritto lettone.

87.

Il governo lettone ha osservato che, secondo una giurisprudenza consolidata, la tutela del diritto fondamentale alla vita privata impone che le deroghe alla protezione dei dati personali e i limiti ad essa relativi siano ridotti a quanto strettamente necessario. Pur riconoscendo la disponibilità di mezzi alternativi per ottenere dati ulteriori, esso ha ammesso che il nome e il cognome erano probabilmente insufficienti per esercitare un’azione legale e ha rimesso quindi la valutazione al giudice nazionale.

88.

Occorre osservare che l’articolo 8, paragrafo 7, della direttiva riconosce agli Stati membri un certo margine di discrezionalità nello stabilire se comunicare i numeri di identificazione. Gli Stati membri non saranno quindi obbligati a trattare i numeri di identificazione, a meno che ciò sia assolutamente necessario per avviare un’azione in sede civile.

89.

A prescindere dalla loro precisa natura, ciò che rileva è il fatto di essere in possesso di tutte le informazioni rilevanti indispensabili per proporre un’azione legale. Così, se in base alla normativa nazionale, è sufficiente l’indirizzo, non dovrebbero essere comunicate altre informazioni.

90.

Spetta al giudice nazionale stabilire la quantità di dati personali necessari alla Rīgas satiksme per avviare validamente un’azione legale ( 29 ) in base al diritto lettone. Desidero solo sottolineare che, come già indicato supra ai paragrafi 74 e 75 delle presenti conclusioni, l’esistenza di alternative per ottenere i dati personali necessari non è rilevante ai fini dell’applicazione dell’articolo 7, lettera f). La Rīgas satiksme dovrebbe essere in grado di ottenere tutte le informazioni necessarie dal singolo responsabile del trattamento cui fa richiesta.

91.

Il caso di specie presenta, per certi versi, talune peculiarità. Il giudice del rinvio chiede essenzialmente se un’eccezione che permette il trattamento dei dati personali possa essere interpretata o meno come un obbligo a carico del responsabile del trattamento dei dati di comunicare l’identità di una persona che ha causato un incidente automobilistico. Potrebbe sembrare che la vera ragione di tale questione risieda nel fatto che, a livello nazionale, le vie di accesso a tali informazioni sono state rese complicate, se non bloccate, in nome della protezione dei dati.

92.

Osservando la serie di eventi di cui trattasi, uno spettatore profano potrebbe porsi un’innocente domanda: la presentazione di una richiesta di un singolo volta ad ottenere l’identità di un soggetto che gli ha causato un danno patrimoniale e nei cui confronti egli intende agire per danni dovrebbe davvero costituire un caso in cui il personale di polizia è tenuto a compiere, a più livelli, una ponderazione degli interessi e della proporzionalità, cui faccia seguito una lunga controversia e un parere dell’autorità nazionale per la protezione dei dati?

93.

Il presente caso è l’ennesima ipotesi ( 30 ) in cui le leggi in materia di tutela dei dati sono estese ed applicate a circostanze alquanto sorprendenti. Esso genera, e non solo in capo a un osservatore profano, un certo disagio intellettuale quanto al ragionevole utilizzo e alla funzione delle norme sulla protezione dei dati. Approfitto di quest’opportunità per formulare alcune considerazioni conclusive al riguardo.

94.

Non vi è dubbio che la tutela dei dati personali è di fondamentale importanza nell’era digitale. La Corte è stata, giustamente, all’avanguardia nello sviluppare una giurisprudenza in materia ( 31 ).

95.

Tuttavia, la giurisprudenza citata riflette realmente la preoccupazione principale della tutela dei dati personali, per la quale quest’ultima è stata inizialmente introdotta e che deve essere protetta con forza: il trattamento su larga scala di dati personali mediante mezzi digitali meccanici in tutte le sue forme, quali compilazione, gestione e uso di grandi pacchetti di dati, il trasferimento di pacchetti di dati per fini diversi da quelli leciti, l’assemblaggio e la raccolta di metadata ecc.

96.

Come in ogni altra branca del diritto, le norme che disciplinano determinate attività devono essere sufficientemente flessibili per poter includere tutte le possibili evenienze. Ciò potrebbe tuttavia comportare il rischio di un’interpretazione e applicazione eccessivamente ampie delle norme di cui trattasi. Esse potrebbero finire così con l’essere applicate a una situazione in cui è alquanto labile e dubbio il collegamento con l’obiettivo originario. Infine, l’applicazione eccessivamente ampia e un certo «assolutismo nell’applicazione» potrebbero condurre al discredito anche dell’idea originaria che era, in sé, molto importante e legittima.

97.

In termini generali, nella sentenza Promusicae, la Corte insisteva sulla necessità di interpretare le direttive riguardanti i dati personali nel senso di garantire un giusto equilibrio tra i diversi diritti fondamentali tutelati dall’ordinamento giuridico dell’Unione ( 32 ).

98.

A ciò potrebbe forse aggiungersi un certo grado di ragionevolezza che andrebbe impiegato in sede di ponderazione. Ciò implicherebbe tener presente l’obiettivo originario e primario (certamente, non l’unico, ma semplicemente quello primario) della normativa: disciplinare le operazioni su scala più ampia effettuate con mezzi meccanici automatizzati e l’uso e il trasferimento delle informazioni così ottenute. Di contro, a mio sommesso parere, occorre adottare un approccio molto più morbido nei casi in cui un soggetto chieda una specifica informazione su una determinata persona in un contesto concreto, allorché sussiste un obiettivo chiaro e del tutto legittimo derivante dalla normale applicazione della legge.

99.

In sintesi, il buon senso non è una fonte del diritto, ma può di certo guidarne l’interpretazione. Sarebbe del tutto deprecabile che la tutela dei dati personali dovesse trasformarsi in un ostacolo posto dai dati personali.

100.

Alla luce delle considerazioni che precedono propongo alla Corte di rispondere alla questione sottopostale dall’Augstākā tiesa, Administratīvo lietu departaments (Corte suprema, Sezione del contenzioso amministrativo, Lettonia) nel modo seguente:

L’articolo 7, lettera f), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, non può essere interpretato nel senso che esso prevede un obbligo per il responsabile del trattamento di comunicare i dati personali chiesti da un terzo al fine di agire giudizialmente in sede civile.

L’articolo 7, lettera f), della direttiva non si oppone, tuttavia, a siffatta comunicazione, sempre che la legge nazionale preveda la comunicazione dei dati personali in casi come quello oggetto del procedimento principale. Il fatto che la persona interessata fosse minorenne all’epoca dell’incidente non rileva a tal fine.