CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2018:838

CONCLUSIONI DELL’AVVOCATO GENERALE

M. CAMPOS SÁNCHEZ-BORDONA

presentate il 17 ottobre 2018(1)

Causa C‑496/17

Deutsche Post AG

contro

Hauptzollamt Köln

[domanda di pronuncia pregiudiziale proposta dal Finanzgericht Düsseldorf (tribunale tributario di Düsseldorf, Germania)]

«Rinvio pregiudiziale – Diritti e obblighi delle persone rispetto alla normativa doganale – Status di operatore economico autorizzato – Questionario – Protezione di dati di carattere personale – Numero di identificazione fiscale – Amministrazione tributaria competente per l’accertamento dell’imposta sul reddito – Trattamento di dati necessario per adempiere un obbligo legale – Principio della limitazione della finalità del trattamento dei dati personali»

1. L’amministrazione doganale tedesca richiede determinati dati personali dei dirigenti e dei dipendenti delle imprese che intendono ottenere o mantenere lo status di operatore economico autorizzato (in prosieguo: l’«AEO»), grazie al quale beneficiano di un trattamento più favorevole rispetto a tutti gli altri importatori o esportatori.

2. La questione pregiudiziale verte sui limiti che il diritto dell’Unione impone a tali richieste di informazioni, sia in ambito strettamente doganale sia nell’ambito della protezione dei dati personali.

I. Contesto normativo

A. Diritto dell’Unione

1. Normativa doganale

a) Codice doganale

3. L’articolo 38 del regolamento n. 952/2013 (2) dispone quanto segue:

«1. Un operatore economico che è stabilito nel territorio doganale dell’Unione e che soddisfa i criteri di cui all’articolo 39 può presentare domanda per ottenere lo status di operatore economico autorizzato.

(…)

2. Lo status di operatore economico autorizzato consta dei seguenti tipi di autorizzazione:

a) un primo tipo per un operatore economico autorizzato nel settore della semplificazione doganale, che consente al titolare di beneficiare di alcune semplificazioni previste ai sensi della normativa doganale; oppure

b) un secondo tipo per un operatore economico autorizzato nel settore della sicurezza, che conferisce al titolare il diritto di ottenere agevolazioni attinenti alla sicurezza.

(…)».

4. L’articolo 39, lettera a), così dispone:

«I criteri per la concessione dello status di operatore economico autorizzato sono i seguenti:

a) assenza di violazioni gravi o ripetute della normativa doganale e fiscale, compresa l’assenza di trascorsi di reati gravi in relazione all’attività economica del richiedente;

(…)».

b) Regolamento di esecuzione (UE) 2015/2447 (3)

5. A norma dell’articolo 24, paragrafo 1:

«(…)

Nel caso in cui il richiedente non sia una persona fisica, il criterio di cui all’articolo 39, lettera a), del codice è considerato soddisfatto se, nel corso degli ultimi tre anni, nessuna delle persone di seguito indicate ha commesso violazioni gravi o ripetute della normativa doganale e fiscale o ha avuto precedenti di reati gravi in relazione alla propria attività economica:

a) il richiedente;

b) la persona responsabile del richiedente o che esercita il controllo sulla sua gestione;

c) l’impiegato responsabile delle questioni doganali del richiedente».

c) Regolamento delegato (UE) 2016/341 (4)

6. Ai sensi dell’articolo 1:

«1. Il presente regolamento stabilisce misure transitorie relative ai mezzi per lo scambio e l’archiviazione di dati di cui all’articolo 278 del codice fino a quando i sistemi elettronici necessari per l’applicazione delle disposizioni del codice non siano operativi.

2. I requisiti in materia di dati, i formati e i codici che devono essere applicati per i periodi di transizione fissati nel presente regolamento, nel regolamento delegato (UE) 2015/2446 e nel regolamento di esecuzione (UE) 2015/2447 sono stabiliti negli allegati del presente regolamento».

7. L’articolo 5 così dispone:

«1. Fino alla data di potenziamento del sistema AEO di cui all’allegato della decisione di esecuzione 2014/255/UE, le autorità doganali possono autorizzare l’utilizzo di mezzi diversi dai procedimenti informatici per le domande e le decisioni in materia di AEO o per gli eventi successivi che possono incidere sulla domanda o sulla decisione iniziale.

2. Nei casi di cui al paragrafo 1 del presente articolo si applicano le seguenti disposizioni:

a) le domande per ottenere la qualifica di AEO sono presentate utilizzando il modello di formulario di cui all’allegato 6 e

b) le autorizzazioni che concedono la qualifica di AEO sono rilasciate utilizzando il modello di formulario di cui all’allegato 7».

8. Il punto 19 delle note esplicative dell’allegato VI è dedicato al contenuto del formulario di domanda per ottenere lo status di AEO:

«Nome, data e firma del richiedente:

Firma: il firmatario deve precisare la sua funzione. Il firmatario dovrebbe essere sempre la persona che rappresenta l’impresa del richiedente nell’insieme.

Nome: nome e timbro del richiedente.

(…)

8. Nomi dei principali dirigenti (direttori generali, capi di dipartimento, amministratori dei servizi di contabilità, responsabile degli affari doganali ecc.). Descrizione delle procedure applicate solitamente quando il dipendente competente è assente, temporaneamente o permanentemente.

9. Nome e posizione delle persone con competenze specifiche nel settore doganale in seno all’organizzazione del richiedente. Valutazione del livello delle conoscenze di queste persone in materia di utilizzo degli strumenti informatici nei settori doganali e commerciali e sulle questioni generali di carattere commerciale.

(…)».

2. Norme in materia di protezione dei dati: regolamento (UE) n. 2016/679 (5)

9. Ai sensi dell’articolo 4:

«Ai fini del presente regolamento s’intende per:

1) “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

2) “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

(…)».

10. L’articolo 5 dispone quanto segue:

«I dati personali sono:

a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);

b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali (“limitazione della finalità”);

c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”);

(…)».

11. L’articolo 6 così recita:

«1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

(…)

c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

(…)

e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

(…)

2. Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX.

3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:

a) dal diritto dell’Unione; o

b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento.

La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. (…) Il diritto dell’Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito.

4. Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l’altro:

a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto;

b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento;

c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 10;

d) delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati;

e) dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione».

12. Ai sensi dell’articolo 23, paragrafo 1, lettera e):

«Il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:

(…)

e) altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale».

B. Diritto nazionale

1. Abgabeordnung (Codice tributario)

13. L’articolo 139a, paragrafo 1, nella versione applicabile ai fatti, dispone quanto segue:

«Ai fini dell’identificazione univoca nell’ambito del procedimento di imposizione, il Bundeszentralamt für Steuern [(Ufficio federale centrale delle imposte, Germania; in prosieguo: l’«Ufficio federale centrale delle imposte»)] assegna a ciascun soggetto passivo un codice unitario e permanente (codice di identificazione); detto codice deve essere indicato dal soggetto passivo o da un terzo tenuto a trasmettere alle autorità tributarie dati del succitato soggetto passivo all’interno di ogni domanda, dichiarazione o comunicazione dirette alle autorità summenzionate. Il codice consiste in una sequenza numerica che non può essere composta da altri dati attinenti al soggetto passivo né può essere da essi derivata; l’ultima è una cifra di controllo (…)».

14. Ai sensi dell’articolo 139b:

«(1) Una persona fisica può ottenere un solo numero di identificazione (…)

(2) Le autorità tributarie possono raccogliere e utilizzare il numero di identificazione soltanto ove ciò sia necessario per adempiere i compiti attribuiti loro dalla legge o qualora una disposizione giuridica lo autorizzi o lo imponga espressamente. I soggetti pubblici o privati diversi dalle autorità tributarie possono:

1. raccogliere o utilizzare il numero di identificazione soltanto se necessario per i trasferimenti di dati tra loro e le autorità tributarie o se una disposizione giuridica lo autorizza o lo impone espressamente,

(…)

3. utilizzare un numero di identificazione di un soggetto passivo acquisito lecitamente per adempiere tutti gli obblighi di comunicazione nei confronti delle autorità tributarie, a condizione che l’obbligo di comunicazione incomba a tale soggetto passivo e che la raccolta e l’utilizzo siano stati ammessi a norma del punto 1 (…)

(3) Con riferimento alle persone fisiche, l’Ufficio federale centrale delle imposte conserva i seguenti dati:

1. numero d’identificazione,

(…)

3. cognome,

4. cognomi precedenti,

5. nome,

6. titolo di dottore,

(…)

8. data e luogo di nascita,

9. sesso,

10. indirizzo attuale o ultimo indirizzo noto,

11. autorità tributarie competenti,

12. informazioni secretate ai sensi del Bundesmeldegesetz [(legge federale tedesca in materia di dichiarazione di residenza)],

13. data di decesso,

14. data di ingresso e di uscita.

(4) I dati di cui al paragrafo 3 sono conservati al fine di:

1. garantire che una persona ottenga un solo numero di identificazione e che un determinato numero di identificazione non sia assegnato più volte,

2. accertare il numero di identificazione di un soggetto passivo,

3. individuare le autorità tributarie competenti per un determinato soggetto passivo,

4. poter trasmettere agli enti competenti i dati che devono essere raccolti in forza di una legge o del diritto internazionale,

5. permettere alle autorità tributarie di espletare i compiti loro affidati dalla legge».

2. Einkommensteuergesetz (legge relativa all’imposta sul reddito)

15. L’articolo 38, paragrafi 1 e 3, nella versione applicabile ai fatti, dispone quanto segue:

«(1) Con riferimento ai redditi da lavoro subordinato, l’imposta sul reddito è riscossa mediante trattenuta sulla retribuzione (imposta sul reddito da lavoro), a condizione che la retribuzione sia versata da un datore di lavoro (…)

(…)

(3) Per ogni retribuzione erogata, il datore di lavoro è tenuto a trattenere l’imposta sul reddito da lavoro per conto del lavoratore (…)».

16. L’articolo 39, paragrafi 1 e 4, dispone quanto segue:

«(1) Per procedere alla trattenuta a titolo di imposta sul reddito da lavoro sono elaborati, su richiesta del lavoratore, gli elementi caratterizzanti ai fini di tale trattenuta (…)

(…)

(4) Tra gli elementi caratterizzanti ai fini della trattenuta a titolo di imposta sul reddito da lavoro rientrano:

1. la classe di imposta,

2. per le classi di imposta da I a IV, il numero di sgravi fiscali per figli a carico,

(…)».

17. Ai sensi dell’articolo 39e:

«(1) L’Ufficio federale centrale delle imposte elabora, in maniera essenzialmente automatizzata, la classe di imposta di ciascun lavoratore e, per i figli di cui tener conto per le classi di imposta da I a IV, il numero di sgravi fiscali per figli a carico (…) quali elementi caratterizzanti ai fini della trattenuta a titolo di imposta sul reddito da lavoro (articolo 39, paragrafo 4, primo periodo, punti 1 e 2) (…). Quando elabora elementi caratterizzanti ai fini della menzionata trattenuta ai sensi dell’articolo 39, l’amministrazione tributaria li comunica all’Ufficio federale centrale delle imposte perché siano disponibili per la consultazione automatizzata da parte del datore di lavoro (…).

(2) Allo scopo di rendere disponibili elementi caratterizzanti ai fini della trattenuta a titolo di imposta sul reddito da lavoro consultabili in maniera automatizzata dal datore di lavoro, l’Ufficio federale centrale delle imposte conserva detti elementi precisando il numero di identificazione e, per ogni soggetto passivo, oltre ai dati di cui all’articolo 139b, paragrafo 3, della Abgabenordnung, anche i dati seguenti:

1. l’appartenenza giuridica a una comunità religiosa titolare di potestà impositiva, oltre alla data di ingresso e di uscita,

2. lo stato di famiglia ai sensi della normativa in materia di dichiarazione di residenza, oltre alla data di costituzione o scioglimento del nucleo familiare, e, per i soggetti coniugati, il numero di identificazione del coniuge,

3. figli, con indicazione del rispettivo numero di identificazione

(…)

(4) Per la consultazione degli elementi caratterizzanti ai fini della trattenuta a titolo di imposta sul reddito da lavoro, all’atto della presa di servizio il lavoratore deve comunicare a ciascuno dei suoi datori di lavoro:

1. il numero di identificazione e la data di nascita,

(…)

All’inizio del rapporto di lavoro, il datore di lavoro è tenuto a consultare presso l’Ufficio federale centrale delle imposte, mediante teletrasmissione dei dati, gli elementi caratterizzanti ai fini della trattenuta a titolo di imposta sul reddito da lavoro in formato elettronico relativi al lavoratore inserendoli altresì nel conto stipendi di quest’ultimo. (…)

(…)».

II. Procedimento principale e questione pregiudiziale

18. La Deutsche Post è titolare di autorizzazioni doganali concesse ai sensi del regolamento (CEE) n. 2913/92 (6) e del regolamento (CEE) n. 2454/93 (7), in particolare in qualità di destinatario autorizzato e speditore autorizzato. Essa beneficia altresì di una garanzia globale quale strumento di semplificazione nel regime di transito dell’Unione o nel regime di transito comunitario e, dal momento della piena entrata in vigore del nuovo codice doganale, dell’autorizzazione a detenere una struttura di deposito per la custodia temporanea.

19. Con lettera del 19 aprile 2017 l’Hauptzollamt (Ufficio centrale delle dogane, Germania; in prosieguo: l’«Ufficio centrale delle dogane») ha chiesto alla ricorrente di rispondere, entro il 19 maggio successivo, alla prima parte (Informazioni sull’impresa) del questionario di autovalutazione disponibile in Internet. Detto questionario conteneva, in particolare, i seguenti quesiti:

«1.1.2 Si indichino, ove pertinenti per la forma societaria dell’impresa considerata,

(…)

c) i membri degli organi consultivi e dei consigli di sorveglianza, rivelando nome, cognome, data di nascita, numero di identificazione fiscale e amministrazione tributaria competente.

1.1.6 Si indichino i principali dirigenti (direttori generali, capi di dipartimento, amministratori dei servizi di contabilità, responsabile degli affari doganali ecc.) dell’impresa e si descrivano i rispettivi meccanismi di rappresentanza. Devono essere precisati quantomeno nome, cognome, data di nascita, numero di identificazione fiscale e amministrazione tributaria competente.

(…)

1.3.1 Si indichino le persone responsabili delle questioni doganali all’interno dell’organizzazione considerata o le persone con competenze specifiche nel settore doganale (ad esempio, il personale tecnico competente a trattare gli affari doganali, il responsabile degli affari doganali) rivelando nome, cognome, data di nascita, numero di identificazione fiscale, amministrazione tributaria competente e posizione rivestita all’interno dell’organizzazione».

20. L’Ufficio centrale delle dogane ha evidenziato alla Deutsche Post che, senza la necessaria collaborazione, non sarebbe stato possibile accertare la sussistenza dei presupposti cui il codice doganale dell’Unione subordina il rilascio delle autorizzazioni. In mancanza di una siffatta collaborazione o di inadempimento dei presupposti per il rilascio di un’autorizzazione, esso avrebbe provveduto alla revoca delle autorizzazioni concesse a tempo indeterminato.

21. La Deutsche Post ha presentato un ricorso dinanzi al giudice del rinvio, contestando l’obbligo di comunicare all’Ufficio centrale delle dogane i numeri di identificazione fiscale (in prosieguo: i «NIF») delle persone indicate nel questionario di autovalutazione, nonché gli estremi delle autorità tributarie competenti nei loro confronti. La Deutsche Post ha chiesto al giudice di dichiarare che non era tenuta a completare tale parte del questionario.

22. La Deutsche Post ha addotto, a sostegno del suo ricorso, che:

— il numero di persone all’interno della sua impresa interessate da tali quesiti era estremamente elevato e che, per esigenze di protezione dei dati, non poteva rispondervi, dal momento che alcuni suoi lavoratori non erano disposti ad autorizzare la divulgazione dei propri dati. Inoltre, il numero di persone individuate dai punti 1.1.2, lettera c), 1.1.6 e 1.3.1 era superiore a quello indicato dall’articolo 24, paragrafo 1, secondo comma, lettere b) e c), del RECA;

— la situazione dei suoi lavoratori in relazione all’imposta sul reddito era irrilevante per valutare se fossero state commesse violazioni gravi o ripetute della normativa doganale o fiscale o reati gravi nell’ambito della loro attività economica. La comunicazione dei loro NIF non era necessaria né idonea ad accertare la sua affidabilità ai fini doganali.

23. L’Ufficio centrale delle dogane ha contestato gli argomenti della Deutsche Post adducendo che la richiesta dei NIF è indispensabile ai fini di un’identificazione univoca delle persone interessate in sede di consultazione presso le amministrazioni tributarie. Uno scambio di informazioni sarebbe previsto soltanto qualora queste ultime dispongano di informazioni su violazioni gravi o ripetute della normativa fiscale. In tale contesto non sarebbero presi in considerazione i procedimenti penali o sanzionatori amministrativi archiviati. Le violazioni ripetute della normativa fiscale sarebbero prese in considerazione solo se così frequenti da risultare del tutto sproporzionate rispetto alla tipologia e alla portata dell’attività commerciale del richiedente.

24. Secondo l’Ufficio centrale delle dogane, la cerchia delle persone interessate dai quesiti sarebbe in linea con l’articolo 24, paragrafo 1, secondo comma, del RECA e con gli orientamenti della Commissione sugli AEO. Nel singolo caso, a seconda del rischio, detto Ufficio va a verificare per quali specifiche persone sia necessario uno scambio di informazioni con le amministrazioni tributarie. Con riferimento alle persone con competenze specifiche nel settore doganale, in caso di reparti per gli affari doganali di dimensioni maggiori, la richiesta sarebbe limitata a dirigenti e quadri.

25. Il Finanzgericht Düsseldorf (tribunale tributario di Düsseldorf, Germania) dubita che la richiesta dei dati personali [i NIF e gli estremi delle autorità tributarie competenti per la liquidazione dell’imposta sul reddito delle persone indicate ai punti 1.1.2, lettera c), 1.1.6 e 1.3.1 del questionario] costituisca un trattamento consentito dei suddetti dati ai sensi dell’RPD e dell’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»).

26. Esso dubita altresì della necessità di procurarsi i dati personali dei lavoratori e dei membri del consiglio di sorveglianza della ricorrente, raccolti ai fini della riscossione dell’imposta sul reddito, poiché non presentano alcun nesso diretto con la valutazione dell’affidabilità ai fini doganali della stessa né con l’attività commerciale della Deutsche Post.

27. In tale contesto, detto giudice ha deciso di sottoporre alla Corte la seguente questione pregiudiziale:

«Se l’articolo 24, paragrafo 1, secondo comma, del regolamento di esecuzione (UE) 2015/2447 della Commissione, del 24 novembre 2015, recante modalità di applicazione di talune disposizioni del regolamento (UE) n. 952/2013 del Parlamento europeo e del Consiglio, che istituisce il codice doganale dell’Unione, debba essere interpretato nel senso che esso consente all’autorità doganale di esigere che il richiedente comunichi i numeri di identificazione fiscale attribuiti dall’Ufficio federale centrale delle imposte ai fini della riscossione dell’imposta sul reddito e di indicare le amministrazioni tributarie competenti per la liquidazione dell’imposta sul reddito con riferimento ai membri del consiglio di sorveglianza del richiedente e ai direttori generali, ai capi di dipartimento, agli amministratori dei servizi di contabilità, ai responsabili degli affari doganali, ai responsabili della gestione delle questioni doganali e alle persone con competenze specifiche nel settore doganale».

28. La Deutsche Post, l’Ufficio centrale delle dogane, i governi di Spagna, Ungheria e Italia, nonché la Commissione hanno presentato osservazioni scritte. All’udienza, tenutasi il 5 luglio 2018, sono comparsi la Deutsche Post, l’Ufficio centrale delle dogane e la Commissione.

III. Risposta alla questione pregiudiziale

29. Prima di svolgere l’analisi nel merito, occorre chiarire quali norme dell’Unione in materia di protezione dei dati personali siano applicabili nel caso di specie.

30. La richiesta di comunicazione di dati è stata inviata alla Deutsche Post il 19 aprile 2017, prima, quindi, della data di entrata in vigore (25 maggio 2018) dell’RPD. All’epoca era in vigore la direttiva 95/46/CE (8), sebbene sia il giudice del rinvio sia le parti intervenienti nel procedimento pregiudiziale, eccetto la Commissione, ritengano pacifico che si applichi il suddetto regolamento.

31. Tale apparente anomalia può essere giustificata dalla natura del procedimento nazionale da cui trae origine la presente controversia. Come chiarito in udienza, la Deutsche Post non avrebbe presentato un ricorso di annullamento (Anfechtungsklage) che il giudice avrebbe dovuto valutare ai sensi delle norme in vigore all’epoca dei fatti in questione, bensì un’azione di accertamento (Feststellungsklage) (9) da definire ai sensi della normativa in vigore al momento dell’udienza e della decisione.

32. Spetta al giudice del rinvio interpretare il proprio diritto processuale nazionale, sul quale la Corte non si pronuncia. Pertanto, se, in applicazione delle norme interne, la controversia deve essere risolta, ratione temporis, ai sensi dell’RPD e non della direttiva 95/46, la Corte deve fornire l’interpretazione del primo, e non di quest’ultima (10).

33. La questione pregiudiziale chiede l’interpretazione, e non l’eventuale dichiarazione di invalidità, dell’articolo 24, paragrafo 1, del RECA e, a tal fine, dovranno essere presi in considerazione l’RPD e gli articoli 7 e 8 della Carta (11). Il giudice del rinvio non ha eccepito, ribadisco, l’eventuale invalidità di tale articolo, che si limita a fissare le condizioni per la concessione dello status di AEO e non richiede, di per sé, né la trasmissione né il trattamento di dati personali da parte di terzi.

A. L’interpretazione dell’articolo 24 del RECA

34. Lo status di AEO attribuisce vantaggi (12) agli operatori economici che, nell’ambito delle loro operazioni doganali, siano ritenuti affidabili in tutto il territorio dell’Unione (articolo 5, paragrafo 5, del codice doganale). Tra tali vantaggi rileva, ai sensi dell’articolo 38, paragrafo 6, di tale codice, un trattamento più favorevole rispetto agli altri operatori per quanto riguarda i controlli doganali. A seconda del tipo di autorizzazione concessa, un AEO è sottoposto a un numero minore di controlli fisici e documentali.

35. Poiché gli AEO devono avere una comprovata reputazione e affidabilità, la concessione di tale status è subordinata al rispetto delle condizioni previste dall’articolo 39 del codice doganale (13), di seguito indicate:

— conformità con la normativa doganale e fiscale, e in particolare assenza di trascorsi di reati gravi in relazione all’attività economica del richiedente;

— dimostrazione, da parte del richiedente, di un alto livello di controllo sulle sue operazioni e sul flusso di merci, mediante un sistema di gestione delle scritture contabili e, se del caso, dei registri di trasporto, che consenta adeguati controlli doganali;

— comprovata solvibilità finanziaria; e

— in funzione del tipo di status di AEO, rispetto di standard pratici di competenza o qualifiche professionali direttamente connesse all’attività svolta (AEOC) oppure adeguati standard di sicurezza (AEOS).

36. Tali condizioni sono richieste a tutti gli operatori che perseguono lo status di AEO, indipendentemente dal fatto che si tratti di persone fisiche o giuridiche. Nella presente fattispecie, poiché la Deutsche Post è una persona giuridica, il requisito relativo all’assenza di violazioni gravi o ripetute della normativa doganale e fiscale, nonché di precedenti per reati gravi in relazione alla propria attività economica, si estende ad alcuni suoi impiegati (quelli con le funzioni più importanti citati in prosieguo) (14). Così afferma l’articolo 24 del RECA, norma di attuazione dell’articolo 39, lettera a), del codice doganale (15).

37. Ai sensi dell’articolo 24 del RECA, devono essere esenti da tali censure «la persona responsabile del richiedente o che esercita il controllo sulla sua gestione» e «l’impiegato responsabile delle questioni doganali del richiedente» (16).

38. L’articolo 24 del RECA definisce i limiti che le autorità doganali non devono superare nelle loro richieste di informazioni riguardo alla cerchia di persone investigabili. La sua osservanza si impone altresì riguardo alla finalità che deve perseguire la raccolta dei dati di dette persone.

1. Persone fisiche investigabili prima di concedere lo status di AEO a una persona giuridica

39. La logica dell’articolo 24 del RECA è che, ai fini del riconoscimento (17) dello status di AEO, le autorità doganali possano disporre di taluni dati certi sui principali responsabili delle imprese nonché sulle persone fisiche che dirigono le loro attività doganali (18).

40. Il tenore letterale dell’articolo 24 del RECA è restrittivo: menziona esclusivamente la persona responsabile (dell’operatore che richiede lo status di AEO) o che esercita il controllo sulla sua gestione e l’impiegato responsabile della gestione delle questioni doganali. La disposizione utilizza il singolare, cosicché si richiede un’interpretazione rigorosa, tanto più che le informazioni comunicate sono dati personali. Una norma di diritto derivato gerarchicamente subordinata rispetto all’articolo 24 del RECA, quale l’allegato 6 del regolamento delegato n. 2016/341, non può estendere il suo campo di applicazione soggettivo.

41. Pertanto, le autorità doganali possono raccogliere dati personali unicamente riguardo:

— al responsabile dell’impresa che richiede lo status di AEO, che è di norma la persona che esercita poteri esecutivi di direzione (19);

— al responsabile delle questioni doganali di detta impresa. La stessa interpretazione restrittiva è applicabile nella presente sede e implica che si possano richiedere unicamente i dati personali dell’ultimo responsabile delle attività doganali dell’impresa.

42. Muovendo da tale premessa ritengo, al pari del giudice del rinvio, che la richiesta dei dati personali dei membri del consiglio di sorveglianza o dell’organo consultivo di un’impresa non rientri nell’ambito di applicazione dell’articolo 24 del RECA. Nella stessa ottica, non sussiste alcun fondamento in tale norma nemmeno per richiedere i dati dei capi di altri dipartimenti e degli amministratori dei servizi di contabilità, salvo tali persone abbiano anche un potere decisionale determinante nell’impresa o si occupino delle questioni doganali della stessa.

2. Informazioni e dati che possono essere richiesti dalle autorità doganali

43. A norma dell’articolo 24 del RECA, come ho già indicato, è possibile raccogliere unicamente le informazioni indispensabili per verificare l’assenza di «violazioni gravi o ripetute della normativa doganale e fiscale» nonché di precedenti per «reati gravi in relazione alla propria attività economica».

44. Questo è, pertanto, il solo fine al quale deve essere volta la raccolta di informazioni da parte delle autorità doganali. Tale disposizione non specifica, tuttavia, il tipo di dati necessari per raggiungere il suo obiettivo: spetta agli Stati membri determinarli, fermo restando che devono essere unicamente quelli indispensabili per accertare l’(in)esistenza delle condotte che incidono sull’affidabilità dei principali responsabili dell’impresa.

45. Per verificare se i suddetti impiegati dell’impresa candidata alla concessione dello status di AEO (non) abbiano l’integrità necessaria per godere della fiducia dell’amministrazione doganale, l’articolo 24 del RECA richiama tre categorie di violazioni:

— le «violazioni gravi o ripetute della normativa doganale». Per «normativa doganale» si intende quella di cui all’articolo 5, paragrafo 2, del codice doganale (20). Poiché è proprio l’amministrazione doganale che gestisce l’attuazione di tale normativa, in linea di principio essa dispone già per sé dei dati sufficienti. L’Ufficio centrale delle dogane riconosce di avere accesso diretto alle banche dati federali contenenti informazioni sulle violazioni doganali o sull’attività economica dell’impresa;

— le «violazioni gravi o ripetute della normativa fiscale», concetto che comprende, come sottolinea la Commissione, una vasta gamma di imposte (21). In relazione a tale seconda categoria, le autorità doganali devono ottenere da terzi le informazioni indispensabili per assicurarsi che gli impiegati dell’impresa candidata allo status di AEO non siano stati sanzionati per detti atti illeciti;

— i «reati gravi in relazione alla propria attività economica», nozione che, come afferma la Commissione, comprende i reati di tal genere, commessi da suoi dirigenti, che pregiudicano gravemente la reputazione e l’onorabilità dell’impresa per quanto riguarda la gestione doganale (22). Ancora una volta si tratta di violazioni riguardo alle quali solitamente le autorità doganali non dispongono di informazioni nei propri archivi.

46. Ci si domanda quali dati possano raccogliere le autorità doganali, ai sensi dell’articolo 24 del RECA, per rilevare la presenza di tali violazioni, ai fini della concessione dello status di AEO.

47. L’Ufficio centrale delle dogane sostiene di avere bisogno dei NIF e degli estremi delle autorità tributarie competenti per i dirigenti e i lavoratori della Deutsche Post che esercitano il controllo sulla sua gestione doganale. Solo in tal modo gli sarebbe possibile accertare se questi abbiano commesso violazioni gravi o ripetute della normativa fiscale, atteso che molte imposte in Germania sono gestite dalle autorità regionali. Il NIF sarebbe l’elemento essenziale per richiedere specificamente a tali autorità le informazioni necessarie riguardo a dette persone.

48. La Deutsche Post assicura invece che la situazione dei suoi lavoratori in relazione all’imposta sul reddito è irrilevante per valutare se essi abbiano commesso violazioni gravi o ripetute della normativa fiscale. La comunicazione dei NIF degli stessi non sarebbe, pertanto, né indispensabile né utile per valutare la sua affidabilità con riferimento alla gestione doganale.

49. Dalle osservazioni scritte e dai chiarimenti forniti in udienza si desume che il NIF è un identificatore personale utilizzato nelle relazioni tra le persone fisiche e l’amministrazione tributaria tedesca per questioni distinte. È pacifico che esso è principalmente utilizzato per la gestione dell’imposta sul reddito, circostanza che chiarisce il suo nesso, nell’ambito del procedimento principale, con i dati delle autorità tributarie competenti per la liquidazione della stessa.

50. L’interpretazione del diritto tedesco non compete alla Corte, bensì al giudice del rinvio. Quest’ultimo sostiene che i NIF assegnati dall’Ufficio federale centrale delle imposte ai lavoratori della Deutsche Post (articolo 139a, paragrafo 1, primo periodo, del codice tributario) possono essere raccolti e conservati unicamente per la riscossione dell’imposta sul reddito sotto forma di trattenuta a titolo di imposta sul reddito da lavoro (articolo 39e, paragrafo 4, primo periodo, punto 1, della legge sull’imposta sul reddito).

51. I dati personali dei lavoratori della Deutsche Post, raccolti ai fini di cui sopra, non presenterebbero, secondo il giudice del rinvio, alcun nesso diretto con l’attività economica di tale impresa e non rileverebbero, pertanto, per la valutazione dell’affidabilità ai fini doganali della stessa (23).

52. Tuttavia, ritengo che, nella prospettiva della normativa doganale, nulla impedisca all’amministrazione tedesca di chiedere il NIF (e gli estremi dell’autorità responsabile per la liquidazione dell’imposta sul reddito) del dirigente e del responsabile delle questioni doganali dell’impresa che intende ottenere lo status di AEO. Fatto salvo quanto esporrò in prosieguo sulla protezione di tali dati personali, gli stessi possono servire a verificare l’assenza di violazioni commesse da tali persone.

53. L’argomento del giudice del rinvio potrebbe essere pertinente qualora sussistesse una dissociazione (alla quale questi sembra alludere) tra le informazioni ottenibili a partire dal NIF, necessariamente relative a ciascuna persona fisica, e l’attività dell’impresa. Tuttavia, il controllo in questione ha lo scopo di accertare, in particolare, se le due persone fisiche che svolgono funzioni rilevanti per l’ente candidato allo status di AEO abbiano tenuto, negli ultimi tre anni, una condotta privata (ossia, non dell’impresa) che possa pregiudicare la sua affidabilità, estendendo, per così dire, la loro scorrettezza — nell’ipotesi in cui fossero stati sanzionati in passato — all’ente alla cui gestione generale o doganale sono preposti.

B. L’articolo 24 del RECA e la normativa dell’Unione in materia di protezione dei dati personali

54. Al pari di altri dati analoghi di natura fiscale qualificati in tal modo dalla Corte (24), il NIF è un dato personale ai sensi dell’articolo 4, paragrafo 1, dell’RPD, poiché si tratta di un’informazione che riguarda una persona identificata o identificabile (25).

55. L’indicazione delle autorità tributarie competenti per la liquidazione dell’imposta sul reddito di una determinata persona appare, nella decisione di rinvio, strettamente connessa al NIF, in ragione della struttura federale del sistema impositivo tedesco. In tale contesto essa può essere considerata, incidentalmente, un dato fiscale relativo a una persona identificata o identificabile.

56. Come evidenzia il giudice del rinvio, la consultazione automatizzata del NIF consente l’accesso a informazioni particolarmente sensibili (26). Si tratta, quindi, di uno strumento, nella disponibilità della pubblica amministrazione, che consente di identificare la persona titolare e di ottenere determinate informazioni sulla vita privata e familiare della stessa.

57. L’attività svolta con riferimento ai NIF nelle relazioni tra l’amministrazione doganale e i candidati allo status di AEO può essere qualificata come raccolta o come comunicazione mediante trasmissione. In entrambi i casi, sussiste un trattamento dei dati ai sensi dell’articolo 4, paragrafo 2, dell’RPD. L’amministrazione doganale tedesca chiede i NIF e li organizza e impiega per domandare alle autorità tributarie competenti informazioni su possibili violazioni gravi o ripetute della normativa fiscale commesse da dette persone. La semplice raccolta di dati siffatti già costituisce trattamento, come lo costituiscono, a maggior ragione, l’organizzazione e il successivo utilizzo degli stessi al fine di ottenere informazioni in ordine a tali persone (27).

58. Nel medesimo senso, la Corte ha ritenuto che sussista trattamento di dati quando si trasmettono dati da un’autorità pubblica a un’altra (28) nonché quando un datore di lavoro trasmette dati personali a un’autorità nazionale (29). Pertanto, la trasmissione dei dati personali di dirigenti e lavoratori da parte della Deutsche Post all’Ufficio centrale delle dogane costituisce «trattamento di dati» ai sensi dell’RPD.

59. L’articolo 5, paragrafo 1, lettera b), dell’RPD stabilisce, come principio fondamentale del trattamento, la limitazione della finalità, nel senso che «i dati personali sono raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità» (30).

60. Occorre stabilire, ebbene, se l’utilizzo da parte delle autorità doganali tedesche dei NIF dei dirigenti e dei responsabili delle questioni doganali della Deutsche Post, richiesti a quest’ultimo ente, sia compatibile con l’obiettivo fissato dalla normativa interna per la raccolta di tali dati personali.

61. Il giudice del rinvio esprime dubbi al riguardo (31) e ritiene che non sussista alcun nesso diretto tra i NIF e le autorità tributarie competenti per l’accertamento dell’imposta sul reddito dei dirigenti e degli impiegati e le attività doganali della Deutsche Post. Come è emerso in udienza e come ho già esposto, il diritto tedesco prevede l’utilizzo di tali dati fiscali principalmente, sebbene non esclusivamente, nel rapporto lavorativo tra il datore di lavoro e il lavoratore, ai fini della riscossione dell’imposta sul reddito.

62. I NIF (e, incidentalmente, gli estremi delle autorità tributarie competenti per la liquidazione dell’imposta sul reddito) costituiscono, dunque, dati personali che non sono stati concepiti per essere utilizzati nell’ambito dei rapporti tra un’impresa e l’amministrazione doganale tedesca al fine di ottenere o di mantenere lo status di AEO. Pertanto, si tratterebbe di un trattamento dei dati personali che non riguarda, in linea di principio, la finalità per la quale sono stati raccolti, in contrasto con la regola di cui all’articolo 5, paragrafo 1, lettera b), dell’RPD.

63. Un trattamento di dati personali di questo tipo potrebbe nondimeno essere giustificato. Sarebbe sufficiente, ad esempio, che le persone fisiche interessate prestassero il loro consenso, a norma dell’articolo 6, paragrafo 1, lettera a), dell’RPD. Risulta tuttavia dagli atti del procedimento che gli impiegati della Deutsche Post si oppongono al trattamento, circostanza che osta a tale soluzione.

64. Altre possibili giustificazioni sono elencate nell’articolo 6, paragrafo 1 (32), ai sensi del quale il trattamento di dati è lecito quando è necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» [lettera c)] o «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» [lettera e)] (33). In entrambi i casi, l’articolo 6, paragrafo 3, dell’RPD prevede che il fondamento del trattamento sia stabilito dal diritto dell’Unione o dal diritto dello Stato membro cui è soggetto il titolare del trattamento.

65. La liceità della richiesta e del trattamento dei dati personali da parte dell’amministrazione doganale nei confronti della Deutsche Post si fonda sull’obbligo legale (34) imposto a tale amministrazione di verificare che l’attribuzione dello status di AEO sia concessa unicamente a imprese i cui dirigenti e responsabili delle questioni doganali non abbiano commesso determinate violazioni. Tale obbligo legale deriva, in ultima analisi, dall’articolo 24 del RECA. Ritengo, pertanto, che sussista la giustificazione di cui all’articolo 6, paragrafo 1, lettera c), dell’RPD.

66. La liceità del trattamento dei NIF del dirigente e del responsabile delle questioni doganali di un’impresa, ai fini dell’attribuzione dello status di AEO, può trovare fondamento anche nell’«esercizio di pubblici poteri di cui è investito il titolare del trattamento» [articolo 6, paragrafo 1, lettera e), dell’RPD] (35), nel senso che tale trattamento è indispensabile affinché l’amministrazione doganale eserciti il potere pubblico assegnatole per controllare le imprese aventi lo status di AEO. Tale status implica un certo grado di delega delle funzioni di controllo doganale a favore degli AEO, bilanciato da un ampio potere dell’amministrazione di verifica e di vigilanza sulla loro affidabilità.

67. La richiesta e il trattamento dei dati di cui alla presente controversia, leciti in quanto fondati sull’articolo 6, paragrafo 1, lettere c) ed e), dell’RPD, possono determinare limitazioni dei diritti che gli articoli da 12 a 22 dello stesso RPD attribuiscono ai titolari di tali dati personali. Spetta al giudice del rinvio determinare se l’Ufficio centrale delle dogane, nel trattamento di detti dati, limiti alcuno dei diritti delle persone interessate, ad esempio i diritti di accesso, di rettifica, di cancellazione o di opposizione.

68. Tali limitazioni, se sussistenti, potrebbero essere giustificate da uno degli «importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale» [articolo 23, paragrafo 1, lettera c), dell’RPD]. La misura che imponga tali limitazioni dovrebbe rispettare, inoltre, «l’essenza dei diritti e delle libertà fondamentali» ed essere «necessaria e proporzionata in una società democratica» (36).

69. A mio avviso, l’obiettivo di garantire l’affidabilità doganale del dirigente e del responsabile delle questioni doganali di un’impresa, ai fini della concessione dello status di AEO, soddisfa un obiettivo di interesse pubblico generale dell’Unione e dello Stato tedesco, dal punto di vista economico, tributario e di bilancio. Il controllo dell’affidabilità degli AEO faciliterà la riscossione dei dazi doganali, i quali costituiscono una risorsa propria dell’Unione, che gli Stati membri riscuotono e trasferiscono al bilancio dell’Unione, previa detrazione di una percentuale per la gestione amministrativa.

70. La mancanza di integrità del dirigente dell’impresa e del suo responsabile delle questioni doganali sono fattori che possono pregiudicare l’affidabilità doganale di detta impresa, con un impatto diretto sulla concessione dello status AEO (37). Come ho affermato nelle mie conclusioni nella causa Impresa di Costruzioni Ing. E. Mantovani e Guerrato (38), è logico che la mancanza di credibilità di un’impresa sia valutata alla luce degli atti penalmente rilevanti perpetrati dai responsabili della sua amministrazione.

71. Tale circostanza giustifica che l’amministrazione doganale possa indagare nei registri fiscali di tali dirigenti, che contengono altresì i trascorsi di questi ultimi in relazione all’imposta sul reddito. Se i dirigenti dell’impresa o i responsabili delle questioni doganali della stessa hanno commesso violazioni relative alla riscossione di tale imposta, o di qualsiasi altra imposta, ritengo che l’amministrazione doganale debba poterne essere informata.

72. In linea con tali considerazioni, la raccolta e l’utilizzo di dati di questo tipo sono strumenti proporzionati per raggiungere l’obiettivo fissato dall’articolo 24, paragrafo 1, del RECA (39). Secondo le affermazioni rese in udienza dall’Ufficio federale centrale delle imposte, nel diritto tedesco non sono previsti mezzi alternativi meno restrittivi, giacché la struttura federale dello Stato tedesco comporta che alcune imposte, come l’imposta sul reddito, siano gestite dalle autorità regionali. Il NIF costituisce il mezzo più appropriato perché l’amministrazione doganale (federale) possa richiedere e ottenere le informazioni in materia fiscale detenute da vari enti locali (40).

73. È opportuno formulare due ultime precisazioni:

– l’amministrazione doganale, ai sensi degli articoli 13 e 14 dell’RPD, è tenuta a informare i dirigenti e i responsabili per le questioni doganali di un’impresa avente lo status di AEO del trattamento previsto per i loro dati personali (NIF e autorità tributaria), affinché tali interessati possano esercitare i diritti loro riconosciuti dagli articoli da 15 a 22 dell’RPD;

– la Corte ha statuito che la condizione del trattamento corretto dei dati personali obbliga un’amministrazione pubblica a informare le persone interessate della trasmissione di tali dati a un’altra amministrazione pubblica che li tratterà in qualità di destinataria di detti dati (41).

IV. Conclusione

74. Alla luce delle suesposte considerazioni, propongo alla Corte di rispondere al Finanzgericht Düsseldorf (tribunale tributario di Düsseldorf, Germania) come segue:

«1) L’articolo 24, paragrafo 1, secondo comma, del regolamento di esecuzione (UE) 2015/2447 della Commissione, del 24 novembre 2015, recante modalità di applicazione di talune disposizioni del regolamento (UE) n. 952/2013 del Parlamento europeo e del Consiglio, che istituisce il codice doganale dell’Unione, deve essere interpretato nel senso che:

– consente all’amministrazione doganale di richiedere a un’impresa che intenda ottenere lo status di operatore economico autorizzato la comunicazione del numero di identificazione fiscale e l’indicazione delle amministrazioni tributarie competenti per la liquidazione dell’imposta sul reddito, con esclusivo riferimento “alla persona responsabile del richiedente o che esercita il controllo sulla sua gestione e all’impiegato responsabile delle questioni doganali del richiedente”;

– non è possibile estendere la richiesta di tali dati ai membri del consiglio di sorveglianza del richiedente o agli altri dirigenti e impiegati dello stesso.

2) L’articolo 6, paragrafo 1, lettere c) ed e), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, consente a un’amministrazione doganale di raccogliere e di trattare dati personali, come i numeri di identificazione fiscale e gli estremi delle amministrazioni tributarie competenti per la liquidazione dell’imposta sul reddito, del dirigente e del responsabile per le questioni doganali di un’impresa che intenda ottenere lo status di operatore economico autorizzato, anche se questi non abbiano prestato il loro consenso, per poter adempiere l’obbligo legale di verificare l’affidabilità ai fini doganali di tale impresa, secondo quanto previsto all’articolo 24, paragrafo 1, secondo comma, del regolamento di esecuzione n. 2015/2447».

1 Lingua originale: lo spagnolo.

2 Regolamento (UE) del Parlamento europeo e del Consiglio, del 9 ottobre 2013, che istituisce il codice doganale dell’Unione (GU 2013, L 269, pag. 1; in prosieguo: il «codice doganale»).

3 Regolamento della Commissione, del 24 novembre 2015, recante modalità di applicazione di talune disposizioni del regolamento n. 952/2013 (GU 2015, L 343, pag. 558; in prosieguo: il «RECA»).

4 Regolamento della Commissione, del 17 dicembre 2015, che integra il regolamento (UE) n. 952/2013 del Parlamento europeo e del Consiglio per quanto riguarda le norme transitorie relative a talune disposizioni del codice doganale dell’Unione nei casi in cui i pertinenti sistemi elettronici non sono ancora operativi e che modifica il regolamento delegato (UE) 2015/2446 della Commissione (GU 2016, L 69, pag. 1).

5 Regolamento del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (GU 2016, L 119, pag. 1; in prosieguo: l’«RPD»).

6 Regolamento del Consiglio, del 12 ottobre 1992, che istituisce un codice doganale comunitario (GU 1992, L 302, pag. 1).

7 Regolamento della Commissione, del 2 luglio 1993, che fissa talune disposizioni d’applicazione del regolamento n. 2913/92 (GU 1993, L 253, pag. 1).

8 Direttiva del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31).

9 Ai termini del punto 5 della decisione di rinvio, «la ricorrente chiede di accertare che (…)».

10 In ogni caso, la soluzione non cambierebbe sostanzialmente applicando l’uno o l’altra, in quanto l’RPD richiama molti contenuti della direttiva 95/46, che esso sostituisce.

11 La Corte ha già statuito «che le disposizioni della direttiva 95/46, disciplinando il trattamento di dati personali che possono arrecare pregiudizio alle libertà fondamentali e, segnatamente, al diritto al rispetto della vita privata, devono essere necessariamente interpretate alla luce dei diritti fondamentali garantiti dalla Carta» (sentenze del 6 ottobre 2015, Schrems, C‑362/14, EU:C:2015:650, punto 38, e del 9 marzo 2017, Manni, C‑398/15, EU:C:2017:197, punto 39).

12 Tra tali vantaggi si annoverano i seguenti: accesso agevolato a procedimenti doganali semplificati, notifica preventiva dell’espletamento di un controllo doganale, numero minore di controlli fisici e documentali rispetto ad altri operatori economici per quanto riguarda i controlli doganali, trattamento prioritario delle spedizioni selezionate per l’ispezione, possibilità di scegliere il luogo dell’ispezione, nonché vantaggi «indiretti», che non si riflettono espressamente nella normativa doganale, ma che possono esercitare un effetto estremamente positivo sull’attività commerciale complessiva dell’AEO. Un AEO che soddisfi i criteri di protezione e sicurezza garantisce anche la protezione e la sicurezza della catena logistica.

13 Ai sensi dell’articolo 38, paragrafo 4, del codice doganale, lo status di AEO conferito da uno Stato membro è riconosciuto dalle autorità doganali di tutti gli altri Stati membri.

14 Intendo che non solo i dipendenti, ma anche la società richiedente devono soddisfare tale requisito.

15 L’articolo 41, paragrafo 1, del codice doganale stabilisce che «la Commissione adotta, mediante atti di esecuzione, le modalità per l’applicazione dei criteri di cui all’articolo 39».

16 L’articolo 5 del regolamento delegato 2016/341 dispone che le domande per ottenere la qualifica di AEO siano presentate utilizzando il modello di formulario di cui all’allegato 6. In tale allegato, il punto 19 delle note esplicative afferma che deve includersi la firma della persona che rappresenta l’impresa del richiedente nell’insieme, indicando la sua funzione, il suo nome e il suo timbro. Inoltre, il richiedente deve fornire, inter alia, le seguenti informazioni: «Nomi dei principali dirigenti (direttori generali, capi di dipartimento, amministratori dei servizi di contabilità, responsabile degli affari doganali ecc.). Descrizione delle procedure applicate solitamente quando il dipendente competente è assente, temporaneamente o permanentemente».

17 Per semplificare mi riferirò, in prosieguo, unicamente all’attribuzione dello status di AEO, tuttavia, gli argomenti possono essere estesi al mantenimento di detto status.

18 V. gli orientamenti della Commissione europea sugli operatori economici autorizzati, TAXUD/B2/047/2011-REV6, dell’11 marzo 2016, pagg. 126 e 127, che contengono le informazioni che le imprese devono fornire nei questionari di autovalutazione dello status di AEO.

19 Se tale funzione direttiva fosse esercitata in forma congiunta, la richiesta di dati potrebbe logicamente estendersi a tutti coloro che la esercitano in base a tale regime di collegialità.

20 Si intende come tale «il corpus legislativo costituito da quanto segue: a) il codice e le disposizioni integrative o di attuazione del medesimo adottate a livello dell’Unione o a livello nazionale; b) la tariffa doganale comune; c) la normativa relativa alla fissazione del regime unionale delle franchigie doganali; e d) gli accordi internazionali contenenti disposizioni doganali, nella misura in cui siano applicabili nell’Unione».

21 Tra le altre, le imposte relative al traffico di merci e servizi, che hanno un nesso diretto con l’attività economica del richiedente (è il caso, ad esempio, dell’IVA), le accise e le imposte relative alla fiscalità delle imprese.

22 Negli orientamenti della Commissione europea sugli operatori economici autorizzati, TAXUD/B2/047/2011-REV6 dell’11 marzo 2016, pag. 37, sono elencati reati quali la bancarotta fraudolenta (insolvenza), le infrazioni delle norme sanitarie, le infrazioni delle norme ambientali – ad esempio, movimenti transfrontalieri illeciti di rifiuti pericolosi –, la frode inerente ai beni a duplice uso, la partecipazione a un’organizzazione criminale, la frode e la corruzione, la criminalità informatica, il riciclaggio di denaro, la partecipazione diretta o indiretta ad attività terroristiche nonché il coinvolgimento diretto o indiretto nel promuovere o coadiuvare l’immigrazione clandestina verso l’Unione europea.

23 Decisione di rinvio, punto 16.

24 Sentenze del 1^o ottobre 2015, Bara e a. (C‑201/14, EU:C:2015:638, punto 29), e del 27 settembre 2017, Puškár (C‑73/16, EU:C:2017:725, punto 41).

25 Secondo una costante giurisprudenza, il rispetto del diritto alla vita privata con riguardo al trattamento dei dati personali si riferisce ad ogni informazione che riguardi una persona fisica identificata o identificabile (sentenze del 9 novembre 2010, Volker und Markus Schecke e Eifert, C‑92/09 e C‑93/09, EU:C:2010:662, punto 52, e del 17 ottobre 2013, Schwartz, C‑291/12, EU:C:2013:670, punto 26).

26 Tra le altre, ai termini della decisione di rinvio, l’appartenenza giuridica a una comunità religiosa titolare di potestà impositiva, con relativa data di ingresso e di uscita, lo stato di famiglia e la data di costituzione o scioglimento del nucleo familiare; se del caso, il NIF del coniuge e dei figli del lavoratore, in relazione agli sgravi fiscali per figli a carico.

27 Nella sentenza del 27 settembre 2017, Puškár (C‑73/16, EU:C:2017:725, punto 34), la Corte ha considerato «trattamento di dati» l’inclusione in un elenco del nome, del numero di identificazione nazionale e del NIF di persone che fungevano da prestanome per rivestire funzioni direttive. Tale elenco era stato redatto dalla Direzione delle finanze e dall’Ufficio crimini dell’amministrazione finanziaria della Repubblica slovacca e sia la realizzazione sia l’impiego dello stesso da parte delle diverse autorità tributarie costituiscono trattamento di dati.

28 Sentenza del 1^o ottobre 2015, Bara e a. (C‑201/14, EU:C:2015:638, punto 29).

29 «Il rilevamento, la registrazione, l’organizzazione, la conservazione, la consultazione, l’utilizzo di tali dati da parte di un datore di lavoro nonché la loro trasmissione da parte di quest’ultimo alle autorità nazionali competenti in materia di vigilanza sulle condizioni di lavoro presentano quindi il carattere di un “trattamento di dati personali” ai sensi dell’articolo 2, lettera b), della direttiva 95/46» (il corsivo è mio) (sentenza del 30 maggio 2013, Worten, C‑342/12, EU:C:2013:355, punto 20).

30 Tale articolo aggiunge che «un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali (“limitazione della finalità”)».

31 Secondo il giudice del rinvio, «i numeri di identificazione fiscale delle persone alle dipendenze della ricorrente, assegnati dall’Ufficio federale centrale delle imposte (articolo 139a, paragrafo 1, primo periodo, dell’AO), sono stati raccolti e conservati unicamente ai fini della riscossione dell’imposta sul reddito sotto forma di trattenuta a titolo di imposta sul reddito da lavoro (articolo 39e, paragrafo 4, primo periodo, punto 1, dell’EStG). Pertanto, i dati personali dei lavoratori della ricorrente all’uopo raccolti non presentano alcun nesso diretto con la valutazione dell’affidabilità ai fini doganali della stessa. In particolare, i dati personali dei lavoratori della ricorrente raccolti per la riscossione dell’imposta sul reddito sotto forma di trattenuta a titolo di imposta sul reddito da lavoro non concernono in alcun modo l’attività commerciale della ricorrente stessa».

32 È opportuno inoltre ricordare che dall’obiettivo di garantire un livello di protezione equivalente in tutti gli Stati membri, perseguito dalla direttiva 95/46, deriva che l’articolo 7 di tale direttiva stabilisce un elenco esaustivo e tassativo dei casi in cui il trattamento dei dati personali può essere considerato lecito (v. sentenze del 24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 e C‑469/10, EU:C:2011:777, punto 30, e del 27 settembre 2017, Puškár, C‑73/16, EU:C:2017:725, punto 105). Tale conclusione può essere applicata anche all’elenco di cui all’articolo 6, paragrafo 1, dell’RPD.

33 Sentenze del 20 maggio 2003, Österreichischer Rundfunk e a. (C‑465/00, C‑138/01 e C‑139/01, EU:C:2003:294, punto 64), e del 30 maggio 2013, Worten (C‑342/12, EU:C:2013:355, punto 36).

34 Secondo la giurisprudenza della Corte, «il requisito secondo cui eventuali limitazioni all’esercizio dei diritti fondamentali devono essere previste dalla legge implica che la base giuridica che permette l’ingerenza in tali diritti deve definire essa stessa la portata della limitazione all’esercizio del diritto interessato» [v., in tal senso, parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017, EU:C:2017:592, punto 139, e sentenza del 17 dicembre 2015, WebMindLicenses (C‑419/14, EU:C:2015:832, punto 81)].

35 La sentenza del 27 settembre 2017, Puškár (C‑73/16, EU:C:2017:725, punti da 106 a 109), ha affermato che un elenco di persone qualificate come prestanome dalla Direzione delle finanze slovacca, elaborato per migliorare la riscossione delle imposte e la lotta alla frode fiscale, rientrava nell’ambito di applicazione dell’articolo 7, lettera e), della direttiva 95/46 [disposizione menzionata dall’articolo 6, paragrafo 1, lettera e), dell’RPD], in quanto gli obiettivi perseguiti erano, in realtà, compiti di interesse pubblico.

36 Ai sensi dell’articolo 52, paragrafo 1, secondo periodo, della Carta, le limitazioni alla tutela dei dati personali, garantita dall’articolo 8, paragrafo 1, di quest’ultima, devono essere determinate tenendo conto del principio di proporzionalità e senza eccedere i limiti dello stretto necessario (sentenze dell’8 aprile 2014, Digital Rights Ireland e a., C‑293/12 e C‑594/12, EU:C:2014:238, punto 52; dell’11 dicembre 2014, Ryneš, C‑212/13, EU:C:2014:2428, punto 28, e del 6 ottobre 2015, Schrems, C‑362/14, EU:C:2015:650, punto 92).

37 Anche in altri settori del diritto dell’Unione sussistono casi in cui la mancanza di onorabilità o di integrità dei dirigenti di un’impresa incide sulla capacità di quest’ultima di esercitare un’attività economica o di ricevere un beneficio. Ad esempio, la direttiva 2013/36/UE del Parlamento europeo e del Consiglio, del 26 giugno 2013, sull’accesso all’attività degli enti creditizi e sulla vigilanza prudenziale sugli enti creditizi e sulle imprese di investimento, che modifica la direttiva 2002/87/CE e abroga le direttive 2006/48/CE e 2006/49/CE (GU 2013, L 176, pag. 338), all’articolo 23, paragrafo 1, lettera b), evidenzia, in merito all’acquisizione di partecipazioni qualificate in enti creditizi, che «le autorità competenti valutano, al fine di garantire la gestione sana e prudente dell’ente creditizio cui si riferisce il progetto di acquisizione e tenendo conto della probabile influenza del candidato acquirente sull’ente creditizio, l’idoneità del candidato acquirente e la solidità finanziaria del progetto di acquisizione in conformità dei criteri seguenti: (…) b) i requisiti di onorabilità, le conoscenze, le competenze e l’esperienza, di cui all’articolo 91, paragrafo 1, di tutti i membri dell’organo di gestione e dell’alta dirigenza che, in esito alla prevista acquisizione, determineranno l’orientamento dell’attività dell’ente creditizio». V., a tal riguardo, le mie conclusioni del 27 giugno 2018, Berlusconi e Fininvest (C‑219/17, EU:C:2018:502).

38 Causa C‑178/16 (EU:C:2017:487, paragrafo 54). Nel punto 34 della sentenza del 20 dicembre 2017 (EU:C:2017:1000), resa in tale causa, la Corte ha dichiarato che il «diritto dell’Unione muove dalla premessa che le persone giuridiche agiscono tramite i propri rappresentanti. Il comportamento contrario alla moralità professionale di questi ultimi può quindi costituire un elemento rilevante ai fini della valutazione della moralità professionale di un’impresa. È quindi senz’altro possibile per gli Stati membri, nell’esercizio della loro competenza a stabilire le condizioni di applicazione delle cause facoltative di esclusione, prendere in considerazione, tra gli elementi rilevanti ai fini della valutazione dell’integrità dell’impresa offerente, l’eventuale esistenza di condotte degli amministratori di tale impresa contrarie alla moralità professionale».

39 Per quanto riguarda il rispetto del principio di proporzionalità, la tutela del diritto fondamentale al rispetto della vita privata a livello dell’Unione richiede che, conformemente ad una giurisprudenza costante della Corte, le deroghe e le restrizioni alla tutela dei dati personali intervengano entro i limiti dello stretto necessario (sentenze dell’8 aprile 2014, Digital Rights Ireland e a., C‑293/12 e C‑594/12, EU:C:2014:238, punti 51 e 52; del 6 ottobre 2015, Schrems, C‑362/14, EU:C:2015:650, punto 92; del 21 dicembre 2016, Tele2 Sverige e Watson e a., C‑203/15 e C‑698/15, EU:C:2016:970, punto 96, e del 27 settembre 2017, Puškár, C‑73/16, EU:C:2017:725, punto 112).

40 In udienza si è discusso se la presentazione, da parte dell’impresa, di certificati di conformità fiscale del dirigente e del responsabile delle questioni doganali della stessa possa costituire un’alternativa meno restrittiva. Secondo l’Ufficio centrale delle dogane non è così, poiché tali certificati devono essere richiesti direttamente da tali persone a proprio carico e contengono, inoltre, più informazioni di quelle indispensabili ai fini dello status di AEO. Spetta al giudice del rinvio valutare questo o altri argomenti a tal riguardo.

41 Sentenza del 1^o ottobre 2015, Bara e a. (C‑201/14, EU:C:2015:638, punto [34]).