Domanda di pronuncia pregiudiziale proposta dal Korkein hallinto-oikeus (Finlandia) il 19 gennaio 2017 – Garante per la protezione dei dati personali
(Causa C-25/17)
Lingua processuale: il finlandese
Giudice del rinvio
Korkein hallinto-oikeus
Parti
Ricorrente: Garante per la protezione dei dati personali
Altra parte nel procedimento: Comunità religiosa Testimoni di Geova
Questioni pregiudiziali
Se le eccezioni di cui all’articolo 3, paragrafo 2, della direttiva sulla protezione dei dati personali 1 , riguardanti il suo campo di applicazione, debbano essere interpretate nel senso che la raccolta e qualsiasi altro trattamento dei dati personali eseguiti dai membri di una comunità religiosa in relazione all’attività di predicazione porta a porta da essi svolta non rientrino nel campo di applicazione della direttiva. Quale importanza rivesta ai fini dell’applicabilità della direttiva il fatto che, da un lato, l’attività di predicazione nel cui ambito sono raccolti i dati venga organizzata dalla comunità religiosa e dalle sue congregazioni e, dall’altro, che si tratti nel contempo dell’esercizio personale della libertà religiosa da parte dei membri della comunità religiosa.
Se la definizione della nozione di «archivio» di cui all’articolo 2, lettera c), della direttiva sulla protezione dei dati personali, tenuto conto dei considerando 26 e 27 della medesima direttiva, debba essere interpretata nel senso che l’insieme dei dati personali che non vengano raccolti in modo automatizzato nell’ambito dell’attività di predicazione porta a porta sopra descritta (nome e indirizzo ed eventuali altri dati personali ed elementi caratteristici),
a. non costituisca un archivio in tal senso, in quanto non si tratta di specifici schedari o elenchi o di analoghi sistemi di classificazione che facilitino la ricerca ai sensi della definizione di cui alla legge finlandese sulla protezione dei dati personali, oppure
b. costituisca un archivio in tal senso, in quanto dai dati raccolti, tenuto conto della relativa finalità, possono essere effettivamente richiamate con facilità e senza costi sproporzionati le informazioni richieste per un successivo impiego, come previsto espressamente dalla legge finlandese sulla protezione dei dati personali.
Se l’espressione di cui all’articolo 2, lettera d), della direttiva sulla protezione dei dati personali «che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali» debba essere interpretata nel senso che una comunità religiosa che organizzi un’attività con la quale vengono raccolti dati personali (tra l’altro con una ripartizione del raggio d’azione dei predicatori, con il monitoraggio dell’attività di predicazione e la tenuta di registri su persone che non gradiscono la visita dei predicatori) possa essere considerata responsabile del trattamento dei dati personali in riferimento a tale attività dei suoi membri, anche se la comunità religiosa fa valere che solo i singoli predicatori hanno accesso alle informazioni registrate.
Se il summenzionato articolo 2, lettera d), debba essere interpretato nel senso che la comunità religiosa possa essere classificata come responsabile del trattamento solo se adotta altre misure specifiche, quali conferimenti di incarichi o istruzioni scritte con cui guidi la raccolta dei dati, o se sia sufficiente che la comunità religiosa svolga un ruolo effettivo nel dirigere l’attività dei suoi membri.
Occorre rispondere alla terza e quarta questione solo se dalle risposte alla prima e seconda questione emerga che si deve applicare la direttiva. Occorre rispondere alla quarta questione solo se dalla risposta alla terza questione emerga che non si può escludere l’applicabilità dell’articolo 2, lettera d), della direttiva a una comunità religiosa.
____________1 Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31).