SENTENZA DELLA CORTE (Terza Sezione)
11 gennaio 2024 (*)
«Rinvio pregiudiziale – Ravvicinamento delle legislazioni – Protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (regolamento generale sulla protezione dei dati) – Regolamento (UE) 2016/679 – Articolo 4, punto 7 – Nozione di “titolare del trattamento” – Gazzetta ufficiale di uno Stato membro – Obbligo di pubblicare tal quali atti di società redatti da queste ultime o dai loro rappresentanti legali – Articolo 5, paragrafo 2 – Trattamento in successione, da parte di diverse persone o entità distinte, dei dati personali che figurano in tali atti – Determinazione delle responsabilità»
Nella causa C‑231/22,
avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dalla cour d’appel de Bruxelles (Corte d’appello di Bruxelles, Belgio), con decisione del 23 febbraio 2022, pervenuta in cancelleria il 1º aprile 2022, nel procedimento
État belge
contro
Autorité de protection des données,
con l’intervento di:
LM,
LA CORTE (Terza Sezione),
composta da K. Jürimäe, presidente di sezione, N. Piçarra, M. Safjan (relatore), N. Jääskinen e M. Gavalec, giudici,
avvocato generale: L. Medina
cancelliere: C. Strömholm, amministratrice
vista la fase scritta del procedimento e in seguito all’udienza del 23 marzo 2023,
considerate le osservazioni presentate:
– per l’Autorité de protection des données, da F. Biebuyck, P. Van Muylder, avocates, ed E. Kairis, advocaat;
– per il governo belga, da P. Cottin, J.-C. Halleux e C. Pochet, in qualità di agenti, assistiti da S. Kaisergruber e P. Schaffner, avocats;
– per il governo ungherese, da Zs. Biró-Tóth e M.Z. Fehér, in qualità di agenti;
– per la Commissione europea, da A. Bouchagiar, H. Kranenborg e A.-C. Simon, in qualità di agenti,
sentite le conclusioni dell’avvocato generale, presentate all’udienza dell’8 giugno 2023,
ha pronunciato la seguente
Sentenza
1 La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 4, punto 7, e dell’articolo 5, paragrafo 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).
2 Tale domanda è stata presentata nell’ambito di una controversia tra l’État belge (Stato belga) e l’Autorité de protection des données [Autorità garante della protezione dei dati (Belgio); in prosieguo: l’«APD»], che è l’autorità di controllo istituita in Belgio in forza dell’articolo 51 del RGPD, relativamente a una decisione con la quale detta autorità ha ingiunto all’autorità che gestisce il Moniteur belge – la Gazzetta ufficiale che provvede, in detto Stato membro, alla produzione e alla diffusione di un ampio ventaglio di pubblicazioni ufficiali, destinate al pubblico, in formato cartaceo ed elettronico – di dar seguito al diritto alla cancellazione, esercitato da una persona fisica, in relazione a diversi dati personali contenuti in un atto pubblicato in tale Gazzetta ufficiale.
Contesto normativo
Diritto dell’Unione
3 L’articolo 4, punti 2 e 7, del RGPD dispone quanto segue:
«Ai fini del presente regolamento s’intende per:
(...)
2) “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
(...)
7) “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
(...)».
4 L’articolo 5 del RGPD enuncia quanto segue:
«1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali (“limitazione della finalità”);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (“esattezza”);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato (“limitazione della conservazione”);
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”).
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».
5 L’articolo 17 del RGPD è così formulato:
«1. L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
b) l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
c) l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;
(...)
3. I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario:
(...)
b) per l’adempimento di un obbligo giuridico che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
(...)
d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all’articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; (…)
(...)».
6 Ai sensi dell’articolo 26 del RGPD:
«1. Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati.
2. L’accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell’accordo è messo a disposizione dell’interessato.
3. Indipendentemente dalle disposizioni dell’accordo di cui al paragrafo 1, l’interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento».
7 L’articolo 51 del RGPD prevede segnatamente che gli Stati membri debbano disporre che una o più autorità pubbliche indipendenti siano incaricate di controllare l’applicazione di tale regolamento.
Diritto belga
8 L’articolo 472 della loi-programme du 24 décembre 2002 (in prosieguo: la «legge programmatica del 24 dicembre 2002»; Moniteur belge del 31 dicembre 2002, pag. 58686) dispone quanto segue:
«Il Moniteur belge è una pubblicazione ufficiale edita dalla Direzione del Moniteur belge, che raccoglie tutti i testi di cui è disposta la pubblicazione nel Moniteur belge».
9 Ai sensi dell’articolo 474 della suddetta legge programmatica:
«La pubblicazione nel Moniteur belge da parte della Direzione del Moniteur belge avviene in quattro esemplari stampati su carta.
(...)
Un esemplare è conservato elettronicamente. Il Re stabilisce le modalità di conservazione elettronica (...)».
10 L’articolo 475 della suddetta legge programmatica è così formulato:
«Qualsiasi altra messa a disposizione del pubblico è realizzata tramite il sito [I]nternet della Direzione del Moniteur belge.
Le pubblicazioni rese disponibili su tale sito [I]nternet sono le riproduzioni esatte in formato elettronico degli esemplari su carta previsti all’articolo 474».
11 Ai sensi dell’articolo 475 bis della medesima legge programmatica:
«Ogni cittadino può ottenere una copia degli atti e dei documenti pubblicati nel Moniteur belge tramite un servizio di assistenza telefonica gratuito a prezzo di costo presso il Moniteur belge. Questo servizio è inoltre incaricato di fornire ai cittadini assistenza nella ricerca di documenti».
12 L’articolo 475 ter della legge programmatica del 24 dicembre 2002 così prevede:
«Ulteriori misure di accompagnamento sono adottate con regio decreto deliberato in seno al Consiglio dei ministri al fine di garantire la più ampia diffusione possibile delle informazioni contenute nel Moniteur belge e l’accesso alle stesse».
Procedimento principale e questioni pregiudiziali
13 In Belgio una persona fisica possedeva la maggioranza delle quote di una società di diritto privato a responsabilità limitata. Poiché i soci di tale società hanno deciso di operare una riduzione del capitale di quest’ultima, lo statuto di detta società è stato modificato con una decisione dell’assemblea straordinaria della stessa del 23 gennaio 2019.
14 Conformemente al code des sociétés (codice delle società), nella versione risultante dalla legge del 7 maggio 1999 (Moniteur belge del 6 agosto 1999, pag. 29440), un estratto di tale decisione è stato redatto dal notaio della suddetta persona fisica prima di essere trasmesso da quest’ultimo alla cancelleria del tribunale competente, vale a dire il tribunal de l’entreprise (Tribunale delle imprese) nella cui circoscrizione detta società ha la sede legale. In forza delle disposizioni di legge pertinenti, il Tribunale ha trasmesso, a fini di pubblicazione, tale estratto alla direzione del Moniteur belge.
15 Il 12 febbraio 2019 il suddetto estratto è stato pubblicato tal quale – ossia senza che ne sia stato verificato il contenuto – negli allegati del Moniteur belge, conformemente alle disposizioni di legge applicabili.
16 Lo stesso estratto contiene la decisione di ridurre il capitale di detta società, l’importo iniziale di tale capitale, l’importo della riduzione di cui trattasi nonché il nuovo importo del capitale sociale e il nuovo testo dello statuto della medesima società. Esso contiene anche un passaggio nel quale vengono menzionati il nome dei due soci di quest’ultima, tra cui quello della persona fisica di cui al punto 13 della presente sentenza, gli importi loro rimborsati nonché i loro numeri di conto bancario (in prosieguo: il «passaggio in questione nel procedimento principale»).
17 Avendo constatato che il suo notaio era incorso in un errore inserendo nell’estratto di cui al punto 14 della presente sentenza il passaggio in questione nel procedimento principale, quando invece ciò non era richiesto dalla legge, tale persona fisica ha avviato, tramite tale notaio e il responsabile della protezione dei dati di quest’ultimo, delle pratiche al fine di ottenere la cancellazione del passaggio di cui trattasi, conformemente al suo diritto alla cancellazione previsto all’articolo 17 del RGPD.
18 Il service public fédéral Justice (Servizio pubblico federale di giustizia; in prosieguo: il «SPF Justice»), al quale è collegata la direzione del Moniteur belge, ha rifiutato, in particolare con decisione del 10 aprile 2019, di dare seguito a siffatta richiesta di cancellazione.
19 Il 21 gennaio 2020 detta persona fisica ha presentato un reclamo contro il SPF Justice presso l’APD al fine di far constatare che tale richiesta di cancellazione era fondata e che le condizioni per l’esercizio del diritto alla cancellazione previste all’articolo 17, paragrafo 1, del RGPD erano soddisfatte.
20 Con decisione del 23 marzo 2021 l’APD ha inviato una «reprimenda» al SPF Justice, ingiungendo al contempo a quest’ultimo di dare seguito a detta richiesta di cancellazione quanto prima, al più tardi entro i successivi 30 giorni dalla notifica di tale decisione.
21 Il 22 aprile 2021 l’État belge (Stato belga) ha adito la cour d’appel de Bruxelles (Corte d’appello di Bruxelles, Belgio), giudice del rinvio, al fine di ottenere l’annullamento di detta decisione.
22 Tale giudice rileva che tra le parti è controversa la questione di come occorra interpretare, nel procedimento principale, la nozione di «titolare del trattamento» di cui all’articolo 4, punto 7, del RGPD, dal momento che i dati personali contenuti nel passaggio in questione nel procedimento principale, la cui pubblicazione non era richiesta dalla legge, sono stati oggetto di un trattamento da parte di diversi potenziali titolari del trattamento «in successione». Questi ultimo sono, in primo luogo, il notaio che ha redatto l’estratto contenente il passaggio in questione nel procedimento principale inserendovi per errore tali dati, in secondo luogo, la cancelleria del tribunale presso cui tale estratto è stato successivamente depositato prima di essere trasmesso al Moniteur belge per la pubblicazione e, in terzo luogo, il Moniteur belge che, conformemente alle disposizioni di legge che disciplinano il suo statuto e le sue funzioni, lo ha pubblicato tal quale, ossia senza potere di controllo o di modifica, dopo averlo ricevuto dal suddetto tribunale.
23 In tale contesto, il giudice del rinvio si chiede se il Moniteur belge possa essere qualificato come «titolare del trattamento», ai sensi dell’articolo 4, punto 7, del RGPD. In caso di risposta affermativa, e pur rilevando che le parti nel procedimento principale non invocano la contitolarità prevista dall’articolo 26 del RGPD, tale giudice chiede altresì se il Moniteur belge debba essere ritenuto l’unico competente, ai sensi dell’articolo 5, paragrafo 2, di tale regolamento, per il rispetto dei principi sanciti all’articolo 5, paragrafo 1, del regolamento di cui trattasi, oppure se tale competenza incomba anche cumulativamente agli enti pubblici che hanno trattato a monte i dati contenuti nel passaggio in questione nel procedimento principale, vale a dire il notaio che ha redatto l’estratto contenente detto passaggio e il tribunal de l’entreprise (Tribunale delle società) nella cui circoscrizione la società di diritto privato a responsabilità limitata considerata ha la sede sociale.
24 In tale contesto, la cour d’appel de Bruxelles (Corte d’appello di Bruxelles) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se l’articolo 4, punto 7, del [RGPD] debba essere interpretato nel senso che una Gazzetta ufficiale di uno Stato membro – incaricata di un compito di servizio pubblico di pubblicazione e archiviazione di documenti ufficiali, la quale, in forza della normativa nazionale applicabile, è responsabile della pubblicazione di atti e di documenti ufficiali di cui è stata disposta la pubblicazione da parte di enti pubblici terzi, quali comunicati da detti enti, dopo che essi stessi hanno trattato i dati personali contenuti in tali atti e documenti, senza essere incaricata dal legislatore nazionale di alcun potere di valutazione riguardo al contenuto dei documenti da pubblicare, né quanto alle finalità e ai mezzi della pubblicazione – rivesta la qualità di titolare del trattamento.
2) In caso di risposta affermativa alla prima questione, se l’articolo 5, paragrafo 2, del [RGPD] debba essere interpretato nel senso che solo la Gazzetta ufficiale in questione è tenuta al rispetto degli obblighi che incombono al titolare del trattamento ai sensi di detta disposizione, ad esclusione degli enti pubblici terzi che hanno precedentemente trattato i dati contenuti negli atti e nei documenti ufficiali di cui essi chiedono la pubblicazione, o se tali obblighi siano cumulativamente imposti a ciascuno dei successivi titolari del trattamento».
Sulle questioni pregiudiziali
Sulla prima questione
25 Con la sua prima questione, il giudice del rinvio chiede, in sostanza, se l’articolo 4, punto 7, del RGPD debba essere interpretato nel senso che il servizio o l’organismo responsabile della Gazzetta ufficiale di uno Stato membro – che è segnatamente tenuto, in forza della legislazione di tale Stato, a pubblicare tal quali atti e documenti ufficiali redatti da terzi sotto la loro responsabilità nel rispetto delle norme applicabili e che vengono poi depositati presso un’autorità giudiziaria che glieli trasmette per la pubblicazione – possa essere qualificato come «titolare del trattamento» dei dati personali contenuti in tali atti e documenti, ai sensi della disposizione in parola.
26 In via preliminare, occorre precisare che la nozione di «titolare del trattamento», di cui all’articolo 4, punto 7, del RGPD, presuppone l’esistenza di un «trattamento» di dati personali, ai sensi dell’articolo 4, punto 2, di tale regolamento. Nel caso di specie, dalla decisione di rinvio risulta che i dati personali contenuti nel passaggio in questione nel procedimento principale sono stati oggetto di un trattamento da parte del Moniteur belge. Anche se il giudice del rinvio non espone in maniera dettagliata tale trattamento, dalle osservazioni scritte concordanti dell’APD e del governo belga risulta che tali dati sono stati quantomeno raccolti, registrati, conservati, comunicati mediante trasmissione e diffusi dal Moniteur belge, operazioni, queste, che costituiscono un «trattamento», ai sensi dell’articolo 4, punto 2, di detto regolamento.
27 Fatta salva tale precisazione in limine, occorre ricordare che, in forza dell’articolo 4, punto 7, del RGPD, la nozione di «titolare del trattamento» comprende le persone fisiche o giuridiche, le autorità pubbliche, i servizi o gli altri organismi che, singolarmente o insieme ad altri, determinano le finalità e i mezzi del trattamento di dati personali. Detta disposizione enuncia anche che, quando le finalità e i mezzi di tale trattamento sono determinati segnatamente dal diritto degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti da tale diritto.
28 Al riguardo, occorre ricordare che, secondo la giurisprudenza della Corte, tale disposizione mira ad assicurare, mediante un’ampia definizione della nozione di «titolare del trattamento», una tutela efficace e completa delle persone interessate (v., in tal senso, sentenze del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punto 29, e del 5 dicembre 2023, Deutsche Wohnen, C‑807/21, EU:C:2023:950, punto 40 e giurisprudenza ivi citata).
29 Tenuto conto della formulazione dell’articolo 4, punto 7, del RGPD, letto alla luce di tale obiettivo, risulta che, per determinare se una persona o un’entità debba essere qualificata come «titolare del trattamento», ai sensi di detta disposizione, occorre verificare se tale persona o entità determini, singolarmente o insieme ad altri, le finalità e i mezzi del trattamento oppure se essi siano determinati dal diritto nazionale. Qualora siffatta determinazione sia effettuata dal diritto nazionale, occorre allora verificare se tale diritto designi il titolare del trattamento o se preveda i criteri specifici applicabili alla sua designazione.
30 Al riguardo, occorre precisare che, alla luce dell’ampia definizione della nozione di «titolare del trattamento», ai sensi dell’articolo 4, punto 7, del RGPD, la determinazione delle finalità e dei mezzi del trattamento e, se del caso, la designazione di tale titolare da parte del diritto nazionale possano essere non solo esplicite, ma anche implicite. In quest’ultima ipotesi, è tuttavia richiesto che tale determinazione derivi in maniera sufficientemente certa dal ruolo, dalla funzione e dalle attribuzioni devoluti alla persona o all’entità interessata. Infatti, si diminuirebbe la protezione di tali persone se l’articolo 4, punto 7, del RGPD venisse interpretato in maniera restrittiva per ricomprendere solo le ipotesi in cui le finalità e i mezzi di un trattamento di dati effettuato da una persona, un’autorità pubblica, un servizio o un organismo siano espressamente determinati dal diritto nazionale, anche quando tali finalità e mezzi risultassero, in sostanza, dalle disposizioni di legge che disciplinano l’attività dell’entità interessata.
31 Nel caso di specie, in primo luogo, il giudice del rinvio precisa che, nel procedimento principale, il Moniteur belge non sembra essere investito dal diritto nazionale del potere di determinare le finalità e i mezzi del trattamento dei dati che effettua, atteso che la prima questione pregiudiziale è stata posta partendo da tale premessa. Inoltre, dalle spiegazioni concordanti dell’APD e del governo belga in udienza risulta che neppure l’autorità pubblica che gestisce il Moniteur belge, vale a dire il SPF Justice, sembra essere investita dal diritto nazionale di un siffatto potere.
32 In secondo luogo, dagli elementi del fascicolo di cui dispone la Corte si evince che i dati personali contenuti negli atti e documenti trasmessi al Moniteur belge per la pubblicazione sono essenzialmente raccolti, registrati, conservati e pubblicati tal quali al fine di informare ufficialmente il pubblico dell’esistenza di tali atti e documenti e di rendere questi ultimi opponibili ai terzi.
33 Per di più, dalle spiegazioni fornite dal giudice del rinvio si evince che il trattamento si effettua essenzialmente tramite l’assistenza di mezzi automatizzati: in particolare, i dati interessati sono riprodotti su esemplari stampati su carta – uno dei quali viene conservato elettronicamente – gli esemplari su carta sono riprodotti in formato elettronico per il sito Internet del Moniteur belge e una copia può essere ottenuta dall’intermediario di un servizio di assistenza telefonica incaricato inoltre di fornire ai cittadini un servizio di assistenza alla ricerca di documenti.
34 Dagli elementi del fascicolo di cui dispone la Corte risulta quindi che il diritto belga ha determinato, almeno implicitamente, le finalità e i mezzi del trattamento dei dati personali effettuato dal Moniteur belge.
35 In tali circostanze, va rilevato che il Moniteur belge può essere considerato – in quanto servizio o organismo incaricato di trattare i dati personali contenuti nelle sue pubblicazioni conformemente alle finalità e ai mezzi di trattamento prescritti dalla legislazione belga – il «titolare del trattamento», ai sensi dell’articolo 4, punto 7, del RGPD.
36 Siffatta conclusione non è messa in discussione dalla circostanza che il Moniteur belge, in quanto sottodivisione del SPF Justice, non è dotato di personalità giuridica. Infatti, dalla chiara formulazione della suddetta disposizione emerge che un titolare del trattamento può non solo essere una persona fisica o giuridica, ma anche un’autorità pubblica, un servizio o un organismo; tali entità, a seconda del diritto nazionale, non sono necessariamente dotate di personalità giuridica.
37 Del pari, il fatto che, ai sensi del diritto nazionale, il Moniteur belge non controlli, prima della loro pubblicazione in tale Gazzetta ufficiale, i dati personali contenuti negli atti e documenti ricevuti da tale Gazzetta ufficiale, non può incidere sulla questione se il Moniteur belge possa essere qualificato come titolare del trattamento.
38 Infatti, se è vero che il Moniteur belge deve pubblicare il documento in questione tal quale, esso è l’unico ad assumere tale compito e a diffondere poi l’atto o il documento di cui trattasi. Da un lato, la pubblicazione di tali atti e documenti senza possibilità di controllo o di modifica del loro contenuto è intrinsecamente legata alle finalità e ai mezzi del trattamento determinati dal diritto nazionale, in quanto il ruolo di una Gazzetta ufficiale quale il Moniteur belge si limita ad informare il pubblico circa l’esistenza di tali atti e documenti, così come sono trasmessi a tale Gazzetta sotto forma di copia conformemente al diritto nazionale applicabile, in modo da renderli opponibili a terzi. Dall’altro lato, sarebbe contrario all’obiettivo dell’articolo 4, punto 7, del RGPD, menzionato al punto 28 della presente sentenza, escludere dalla nozione di «titolare del trattamento» la Gazzetta ufficiale di uno Stato membro per il motivo che quest’ultimo non esercita un controllo sui dati personali che figurano nelle sue pubblicazioni (v., per analogia, sentenza del 13 maggio 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, punto 34).
39 Alla luce dei motivi che precedono, occorre rispondere alla prima questione dichiarando che l’articolo 4, punto 7, del RGPD deve essere interpretato nel senso che il servizio o l’organismo responsabile della Gazzetta ufficiale di uno Stato membro – che è segnatamente tenuto, in forza della legislazione di tale Stato, a pubblicare tal quali atti e documenti ufficiali redatti da terzi sotto la loro responsabilità nel rispetto delle norme applicabili e che vengono poi depositati presso un’autorità giudiziaria che glieli trasmette per la pubblicazione – può, nonostante la sua mancanza di personalità giuridica, essere qualificato come «titolare del trattamento» dei dati personali contenuti in tali atti e documenti, qualora il diritto nazionale considerato determini le finalità e i mezzi del trattamento dei dati personali effettuato dalla suddetta Gazzetta ufficiale.
Sulla seconda questione
40 Con la sua seconda questione, il giudice del rinvio chiede, in sostanza, se l’articolo 5, paragrafo 2, del RGPD debba essere interpretato nel senso che il servizio o l’organismo responsabile della Gazzetta ufficiale di uno Stato membro, qualificato come «titolare del trattamento», ai sensi dell’articolo 4, punto 7, del RGPD, debba essere considerato l’unico competente per il rispetto dei principi di cui all’articolo 5, paragrafo 1, del RGPD o se tale rispetto incomba cumulativamente a detto servizio o organismo e agli enti pubblici terzi che hanno previamente trattato i dati personali contenuti negli atti e documenti pubblicati da detta Gazzetta ufficiale.
41 Anzitutto, occorre ricordare che, in forza dell’articolo 5, paragrafo 2, del RGPD, il titolare del trattamento è competente per il rispetto dei principi previsti sotto forma di obblighi al paragrafo 1 di tale articolo e deve essere in grado di comprovare che tali principi sono rispettati.
42 Nel caso di specie, dal fascicolo di cui dispone la Corte si evince che il trattamento dei dati personali in esame nel procedimento principale che è stato affidato al Moniteur belge è sia posteriore al trattamento effettuato dal notaio e dalla cancelleria del tribunale competente sia tecnicamente diverso dal trattamento effettuato da queste due entità in quanto si aggiunge ad esso. Infatti, le operazioni effettuate dal Moniteur belge gli sono affidate dalla legislazione nazionale e implicano, in particolare, la trasformazione digitale dei dati contenuti negli atti o negli estratti di atti che gli vengono sottoposti, la pubblicazione di questi ultimi, la loro messa a disposizione di un vasto pubblico e la loro conservazione.
43 Di conseguenza, il Moniteur belge deve essere considerato, in forza dell’articolo 5, paragrafo 2, del RGPD, competente per il rispetto dei principi di cui al paragrafo 1 di tale articolo, in relazione ai trattamenti che è tenuto ad effettuare in forza del diritto nazionale, e, pertanto, dell’insieme degli obblighi imposti al titolare del trattamento dal RGPD.
44 Tenuto conto degli interrogativi del giudice del rinvio quanto alla determinazione se una siffatta Gazzetta ufficiale sia l’unico titolare di tali trattamenti, occorre ricordare poi che, come risulta dalla formulazione dell’articolo 4, punto 7, del RGPD, tale disposizione prevede non solo che le finalità e i mezzi di un trattamento di dati personali possano essere determinati congiuntamente da diverse persone in quanto titolari del trattamento, ma anche che il diritto nazionale possa determinare esso stesso tali finalità e tali mezzi e designare il titolare del trattamento o prevedere i criteri specifici applicabili alla sua designazione.
45 Pertanto, nell’ambito di una catena di trattamenti effettuati da diverse persone o entità e vertenti sugli stessi dati personali, il diritto nazionale può determinare le finalità e i mezzi dell’insieme dei trattamenti effettuati in successione da tali diverse persone o entità in modo che queste ultime siano considerate congiuntamente titolari del trattamento.
46 Inoltre, occorre ricordare che l’articolo 26, paragrafo 1, del RGPD prevede una contitolarità allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi di un trattamento di dati personali. Tale disposizione enuncia anche che i contitolari del trattamento devono definire in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti da tale regolamento, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui essi sono soggetti.
47 Da tale disposizione risulta quindi che le rispettive responsabilità dei contitolari di un trattamento di dati personali non dipendono necessariamente dall’esistenza di un accodo tra i diversi titolari (v., in tal senso, sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punti 44 e 45), ma possono derivare dal diritto nazionale.
48 Inoltre, la Corte ha affermato, da un lato, che è sufficiente che una persona influisca, per fini che le sono propri, sul trattamento dei dati personali e partecipi pertanto alla determinazione delle finalità e dei mezzi di tale trattamento per poter essere ritenuta contitolare del trattamento e, dall’altro, che la contitolarità di vari soggetti per un medesimo trattamento non presuppone che ciascuno di essi abbia accesso ai dati personali interessati (v., in tal senso, sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punti da 40 a 43 e giurisprudenza ivi citata).
49 Dai punti da 44 a 48 della presente sentenza risulta che, in virtù del combinato disposto dell’articolo 26, paragrafo 1, e dell’articolo 4, punto 7, del RGPD, la contitolarità di diversi soggetti in una catena di trattamenti vertenti sui medesimi dati personali può essere stabilita dal diritto nazionale, purché le varie operazioni di trattamento siano accomunate da finalità e da mezzi determinati da tale diritto e che quest’ultimo definisca le rispettive responsabilità di ciascuno dei contitolari del trattamento.
50 Occorre precisare che una siffatta determinazione delle finalità e dei mezzi che accomunano i diversi trattamenti operati da vari soggetti di una catena nonché delle rispettive responsabilità di questi ultimi può essere effettuata non solo in modo diretto, ma anche indirettamente dal diritto nazionale, a condizione, in quest’ultima ipotesi, che essa possa essere desunta in modo sufficientemente esplicito dalle disposizioni di legge che disciplinano le persone o entità interessate nonché il trattamento dei dati personali che esse operano nell’ambito della catena di trattamenti imposta da tale diritto.
51 Infine, e ad ogni buon conto, occorre precisare che, nel caso in cui il giudice del rinvio giunga alla conclusione che il servizio o l’organismo responsabile del Moniteur belge non è singolarmente, ma congiuntamente ad altri, competente per il rispetto dei principi di cui all’articolo 5, paragrafo 1, del RGPD per quanto riguarda i dati figuranti nel passaggio in questione nel procedimento principale, una siffatta conclusione non pregiudicherebbe in alcun modo la questione di determinare se, in considerazione segnatamente delle eccezioni di cui all’articolo 17, paragrafo 3, lettere b) e d), del RGPD, la richiesta di cancellazione presentata dalla persona fisica di cui al punto 13 della presente sentenza debba essere accolta.
52 Alla luce dei motivi che precedono, occorre rispondere alla seconda questione dichiarando che l’articolo 5, paragrafo 2, del RGPD, in combinato disposto con l’articolo 4, punto 7 e l’articolo 26, paragrafo 1, di quest’ultimo, deve essere interpretato nel senso che il servizio o l’organismo responsabile della Gazzetta ufficiale di uno Stato membro, qualificato come «titolare del trattamento», ai sensi dell’articolo 4, punto 7, del suddetto regolamento, è l’unico competente per il rispetto dei principi di cui all’articolo 5, paragrafo 1, del medesimo regolamento per quanto riguarda le operazioni di trattamento dei dati personali che è tenuto ad effettuare in forza del diritto nazionale, a meno che da tale diritto derivi, in relazione a tali operazioni, una competenza congiunta con altre entità.
Sulle spese
53 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice del rinvio, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
Per questi motivi, la Corte (Terza Sezione) dichiara:
1) L’articolo 4, punto 7, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),
deve essere interpretato nel senso che:
il servizio o l’organismo responsabile della Gazzetta ufficiale di uno Stato membro – che è segnatamente tenuto, in forza della legislazione di tale Stato, a pubblicare tal quali atti e documenti ufficiali redatti da terzi sotto la loro responsabilità nel rispetto delle norme applicabili e che vengono poi depositati presso un’autorità giudiziaria che glieli trasmette per la pubblicazione – può, nonostante la sua mancanza di personalità giuridica, essere qualificato come «titolare del trattamento» dei dati personali contenuti in tali atti e documenti, qualora il diritto nazionale considerato determini le finalità e i mezzi del trattamento dei dati personali effettuato dalla suddetta Gazzetta ufficiale.
2) L’articolo 5, paragrafo 2, del regolamento 2016/679, in combinato disposto con l’articolo 4, punto 7, e l’articolo 26, paragrafo 1, di quest’ultimo,
deve essere interpretato nel senso che:
il servizio o l’organismo responsabile della Gazzetta ufficiale di uno Stato membro, qualificato come «titolare del trattamento», ai sensi dell’articolo 4, punto 7, del suddetto regolamento, è l’unico competente per il rispetto dei principi di cui all’articolo 5, paragrafo 1, del medesimo regolamento per quanto riguarda le operazioni di trattamento dei dati personali che è tenuto ad effettuare in forza del diritto nazionale, a meno che da tale diritto derivi, in relazione a tali operazioni, una competenza congiunta con altre entità.
Firme