CONCLUSIONI DELL’AVVOCATO GENERALE
MACIEJ SZPUNAR
presentate il 17 dicembre 2020 (1)
Causa C‑439/19
B
con l’intervento di:
Latvijas Republikas Saeima
[domanda di pronuncia pregiudiziale proposta dalla Satversmes tiesa (Corte costituzionale, Lettonia)]
«Rinvio pregiudiziale – Regolamento (UE) 2016/679 – Trattamento dei dati personali – Informazioni riguardanti i punti di penalità in caso di infrazioni stradali – Nozione di trattamento dei dati personali relativi a condanne penali e reati – Disposizioni nazionali che prevedono la divulgazione di tali informazioni e ne consentono il riutilizzo»
I. Introduzione
1. Nel 1946 George Orwell aveva commentato la campagna «Tenere la morte fuori strada», lanciata all’epoca da un ex Stato membro dell’Unione europea, in questi termini: «Se si volessero davvero evitare le morti sulle strade, si dovrebbe riprogrammare l’intero sistema stradale, in modo tale da rendere impossibili le collisioni. Si pensi a cosa significa questo (ciò comporterebbe, ad esempio, l’abbattimento e la ricostruzione dell’intera Londra) e si potrà vedere che al momento è del tutto al di fuori della portata di qualsiasi nazione. In alternativa, si possono soltanto adottare misure palliative, che si limitano in definitiva a rendere le persone più prudenti» (2).
2. La causa di cui trattasi, pendente dinanzi alla Satversmes tiesa (Corte costituzionale, Lettonia), la quale si è rivolta alla Corte con la presente domanda di pronuncia pregiudiziale, si incentra sulle «misure palliative» di cui sopra: per promuovere la sicurezza stradale rendendo i conducenti più consapevoli e prudenti, vengono inflitti punti di penalità ai conducenti che commettono infrazioni stradali. Tali informazioni sono poi comunicate e trasmesse per essere riutilizzate. Il giudice del rinvio, che è chiamato a pronunciarsi su un ricorso costituzionale proposto dinanzi ad esso, chiede di valutare la compatibilità della normativa nazionale di cui trattasi con il regolamento (UE) 2016/679 (3) (in prosieguo: il «RGPD»).
3. Ciò rende la presente fattispecie una causa quasi classica in materia di protezione dei dati, nel senso che essa si colloca prevalentemente nel «mondo offline» e implica un rapporto verticale tra uno Stato e un soggetto privato, che la pone agevolmente nell’ambito di una serie di cause pervenute alla Corte fin dalla fondamentale sentenza Stauder (4), probabilmente la prima causa relativa alla protezione dei dati in senso ampio (5).
4. Nel valutare fino a che punto uno Stato membro possa interferire con i diritti personali di un singolo allo scopo di perseguire la sua finalità di promozione della sicurezza stradale, propongo alla Corte che misure come la normativa lettone in esame non siano proporzionate rispetto all’obiettivo che intendono realizzare.
5. Prima di arrivare a ciò, tuttavia, la presente causa solleva tutta una serie di questioni fondamentali e complesse, che ci condurranno a rotta di collo attraverso il RGPD. Allacciatevi le cinture di sicurezza. Potrebbe evitarvi un punto di penalità.
II. Contesto normativo
A. Diritto dell’Unione
1. RGPD
6. Il capo I del RGPD, intitolato «Disposizioni generali», contiene gli articoli da 1 a 4, che stabiliscono oggetto e finalità, ambito di applicazione materiale e territoriale nonché le definizioni.
7. L’articolo 1 del RGPD, intitolato «Oggetto e finalità», così recita:
«1. Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.
2. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.
3. La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali».
8. L’articolo 2 del RGPD, intitolato «Ambito di applicazione materiale», è così formulato:
«1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
2. Il presente regolamento non si applica ai trattamenti di dati personali:
a) effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
b) effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE;
c) effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;
d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.
(…)».
9. Il capo II del RGPD, che contiene gli articoli da 5 a 11, ha ad oggetto i principi del regolamento: i principi applicabili al trattamento di dati personali, la liceità del trattamento, le condizioni per il consenso, compreso il consenso dei minori in relazione ai servizi della società dell’informazione, il trattamento di categorie particolari di dati personali e dei dati personali relativi a condanne penali e reati e il trattamento che non richiede l’identificazione.
10. L’articolo 5 del RGPD, intitolato «Principi applicabili al trattamento di dati personali», così dispone:
«1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali (“limitazione della finalità”);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (“esattezza”);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato (“limitazione della conservazione”);
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”).
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».
11. L’articolo 10 del RGPD, intitolato «Trattamento dei dati personali relativi a condanne penali e reati», così recita:
«Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’autorità pubblica».
2. Direttiva 2003/98/CE
12. L’articolo 1 della direttiva 2003/98/CE (6), intitolato «Oggetto e ambito di applicazione», è così formulato:
«1. La presente direttiva detta un complesso minimo di norme in materia di riutilizzo e di strumenti pratici per agevolare il riutilizzo dei documenti esistenti in possesso degli enti pubblici degli Stati membri.
2. La presente direttiva non si applica:
a) ai documenti la cui fornitura è un’attività che esula dall’ambito dei compiti di servizio pubblico degli enti pubblici in questione, quali definiti dalla legge o da altre norme vincolanti nello Stato membro o, in mancanza di tali norme, quali definiti in conformità delle comuni prassi amministrative dello Stato membro in questione, a condizione che la portata di detti compiti sia trasparente e soggetta a revisione;
b) ai documenti su cui terzi detengono diritti di proprietà intellettuale;
c) ai documenti esclusi dall’accesso in virtù dei regimi di accesso negli Stati membri, anche per motivi di:
– tutela della sicurezza nazionale (vale a dire della sicurezza dello Stato), difesa o sicurezza pubblica,
– riservatezza statistica,
– riservatezza commerciale (ad esempio segreti commerciali, professionali o d’impresa);
c bis) ai documenti il cui accesso è limitato in virtù dei regimi di accesso vigenti negli Stati membri, compresi i casi in cui i cittadini o le imprese devono dimostrare un interesse particolare nell’ottenimento dell’accesso ai documenti;
c ter) alle parti di documenti contenenti solo logotipi, stemmi e distintivi;
c quater) ai documenti il cui accesso è escluso o limitato in virtù dei regimi di accesso per motivi di protezione dei dati personali, e a parti di documenti accessibili in virtù di tali regimi che contengono dati personali il cui riutilizzo è stato definito per legge incompatibile con la normativa in materia di tutela delle persone fisiche con riguardo al trattamento dei dati personali;
d) ai documenti in possesso delle emittenti di servizio pubblico e delle società da esse controllate e da altri organismi o loro società controllate per l’adempimento di un compito di radiodiffusione di servizio pubblico;
e) ai documenti in possesso di istituti di istruzione e di ricerca, comprese organizzazioni preposte al trasferimento dei risultati della ricerca, scuole e università, escluse le biblioteche universitarie; e
f) ai documenti in possesso di enti culturali diversi dalle biblioteche, dai musei e dagli archivi.
3. La presente direttiva si basa, senza recar loro pregiudizio, sui regimi di accesso esistenti negli Stati membri.
4. La presente direttiva non pregiudica in alcun modo il livello di tutela delle persone fisiche con riguardo al trattamento dei dati personali ai sensi delle disposizioni di diritto [dell’Unione] e nazionale e non modifica, in particolare, i diritti e gli obblighi previsti dalla direttiva 95/46/CE [(7)].
5. Gli obblighi di cui alla presente direttiva si applicano unicamente nella misura in cui essi sono compatibili con le disposizioni di accordi internazionali sulla protezione dei diritti di proprietà intellettuale, in particolare la convenzione di Berna [(8)] e l’accordo TRIPS [(9)]».
13. L’articolo 2 della direttiva 2003/98, intitolato «Definizioni», così dispone:
«Ai fini della presente direttiva si intende per:
1. “ente pubblico”, le autorità statali, regionali o locali, gli organismi di diritto pubblico e le associazioni formate da una o più di tali autorità oppure da uno o più di tali organismi di diritto pubblico;
2. “organismo di diritto pubblico”, qualsiasi organismo:
a) istituito per soddisfare specificatamente bisogni d’interesse generale aventi carattere non industriale o commerciale; e
b) dotato di personalità giuridica; e
c) la cui attività è finanziata in modo maggioritario dallo Stato, da autorità regionali o locali o da altri organismi di diritto pubblico, oppure la cui gestione è soggetta al controllo di questi ultimi, oppure il cui organo d’amministrazione, di direzione o di vigilanza è costituito da membri più della metà dei quali è designata dallo Stato, da autorità regionali o locali o da altri organismi di diritto pubblico;
3. “documento”:
a) qualsiasi contenuto, a prescindere dal suo supporto (testo su supporto cartaceo o elettronico, registrazione sonora, visiva o audiovisiva);
b) qualsiasi parte di tale contenuto;
4. “riutilizzo”, l’uso di documenti in possesso di enti pubblici da parte di persone fisiche o giuridiche a fini commerciali o non commerciali diversi dallo scopo iniziale nell’ambito dei compiti di servizio pubblico per i quali i documenti sono stati prodotti. Lo scambio di documenti tra enti pubblici esclusivamente in adempimento dei loro compiti di servizio pubblico non costituisce riutilizzo;
5. “dati personali”, i dati quali definiti all’articolo 2, lettera a), della direttiva 95/46/CE.
6. “formato leggibile meccanicamente”, un formato di file strutturato in modo tale da consentire alle applicazioni software di individuare, riconoscere ed estrarre facilmente dati specifici, comprese dichiarazioni individuali di fatto e la loro struttura interna;
7. “formato aperto”, un formato di file indipendente dalla piattaforma e messo a disposizione del pubblico senza restrizioni che impediscano il riutilizzo dei documenti;
8. “standard formale aperto”, uno standard che è stato definito in forma scritta, precisando in dettaglio i requisiti per assicurare l’interoperabilità del software;
9. “università”, qualsiasi organismo pubblico che fornisce istruzione post-secondaria superiore che conduce a titoli di studio accademici».
14. L’articolo 3 della direttiva 2003/98, intitolato «Principio generale», è così formulato:
«1. Fatto salvo il paragrafo 2, gli Stati membri provvedono affinché i documenti cui si applica la presente direttiva in conformità dell’articolo 1 siano riutilizzabili a fini commerciali o non commerciali conformemente alle condizioni indicate nei capi III e IV.
2. Gli Stati membri provvedono affinché i documenti i cui diritti di proprietà intellettuale sono detenuti da biblioteche, comprese le biblioteche universitarie, musei e archivi, qualora il loro riutilizzo sia autorizzato, siano riutilizzabili a fini commerciali o non commerciali conformemente alle condizioni indicate nei capi III e IV».
B. Diritto lettone
15. L’articolo 141, paragrafo 2, del Ceļu satiksmes likums (legge sulla circolazione stradale) (10) è così formulato:
«Le informazioni relative ad un veicolo di proprietà di una persona giuridica, (…) al diritto di una persona di guidare un veicolo, alle ammende per infrazioni stradali inflitte a una persona e non pagate entro i termini stabiliti ex lege e le altre informazioni inserite nel registro nazionale dei veicoli e dei conducenti [in prosieguo: il “registro nazionale dei veicoli”], nonché nel sistema di informazione sui mezzi di trazione e sui conducenti, sono considerate informazioni accessibili al pubblico».
III. Fatti, procedimento e questioni pregiudiziali
16. Il richiedente nel procedimento dinanzi al giudice del rinvio, B, è una persona fisica a cui sono stati inflitti punti di penalità in base alla legge sulla circolazione stradale e al relativo decreto (11). La Ceļu satiksmes drošības direkcija (Direzione per la sicurezza stradale, Lettonia; in prosieguo: la «CSDD») è un ente pubblico che ha iscritto tali punti di penalità nel registro nazionale dei veicoli.
17. Dal momento che, ove richieste, le informazioni riguardanti i punti di penalità possono essere comunicate e, secondo B, trasmesse a diverse società per essere riutilizzate, B ha proposto un ricorso costituzionale dinanzi al giudice del rinvio in ordine alla conformità dell’articolo 141, paragrafo 2, della legge sulla circolazione stradale con il diritto alla vita privata di cui all’articolo 96 della Latvijas Republikas Satversme (Costituzione della Repubblica di Lettonia).
18. Poiché l’articolo 141, paragrafo 2, della legge sulla circolazione stradale è stato adottato dalla Latvijas Republikas Saeima (Parlamento della Repubblica di Lettonia; in prosieguo: la «Saeima»), detta istituzione è intervenuta nel procedimento. È stata anche sentita la CSDD, che effettua il trattamento dei dati di cui trattasi. Inoltre, la Datu valsts inspekcija (Agenzia statale per la protezione dei dati, Lettonia) – che in Lettonia è l’autorità di vigilanza ai sensi dell’articolo 51 del RGPD – e numerose altre autorità e persone sono state invitate a formulare le proprie osservazioni, a titolo di amici curiae, dinanzi al giudice del rinvio.
19. La Saeima riconosce che, in base alla disposizione in esame, chiunque può ottenere informazioni riguardanti i punti di penalità di un’altra persona facendone richiesta direttamente alla CSDD o utilizzando i servizi forniti da riutilizzatori commerciali.
20. Ciò premesso, la Saeima ritiene che detta disposizione sia legittima, in quanto giustificata dalla finalità di migliorare la sicurezza stradale, che esige che chi viola le norme sulla circolazione stradale debba essere pubblicamente identificato e che i conducenti siano dissuasi dal commettere infrazioni.
21. Deve inoltre essere rispettato il diritto di accesso alle informazioni, sancito dall’articolo 100 della Costituzione lettone. In ogni caso, il trattamento delle informazioni riguardanti i punti di penalità avviene sotto il controllo dell’autorità pubblica e in conformità a garanzie appropriate per i diritti e le libertà degli interessati.
22. La Saeima spiega inoltre che, in pratica, la comunicazione delle informazioni contenute nel registro nazionale dei veicoli è subordinata alla condizione che chi richiede le informazioni indichi il numero di identificazione nazionale del conducente del quale cerca informazioni. Tale condizione preliminare per ottenere informazioni si spiega con il fatto che, a differenza del nome, il numero di identificazione nazionale di una persona è un identificatore univoco.
23. La CSDD, dal canto suo, ha spiegato al giudice del rinvio il funzionamento del sistema dei punti di penalità e ha confermato che la normativa nazionale non impone alcun limite all’accesso al pubblico ai dati relativi ai punti di penalità né al loro riutilizzo.
24. La CSDD ha altresì fornito dettagli dei contratti stipulati con i riutilizzatori commerciali. Essa ha sottolineato che tali contratti non prevedono il trasferimento legale dei dati e che i riutilizzatori garantiscono che le informazioni trasmesse ai propri clienti non eccedano quelle che possono essere ottenute dalla CSDD. Inoltre, una delle clausole contrattuali stabilisce che chi acquisisce le informazioni deve utilizzarle nel modo previsto dalla normativa vigente e in conformità agli scopi indicati nel contratto.
25. L’Agenzia per la protezione dei dati ha espresso dubbi circa la conformità della disposizione in oggetto con l’articolo 96 della Costituzione lettone. Essa non ha escluso la possibilità che il trattamento dei dati di cui trattasi possa essere inappropriato o sproporzionato.
26. Detta Agenzia ha altresì osservato che, sebbene le statistiche sugli incidenti stradali in Lettonia indichino una diminuzione del numero di incidenti, non vi è alcuna prova che il sistema dei punti di penalità e il pubblico accesso alle informazioni che lo riguardano abbiano contribuito a tale evoluzione favorevole.
27. La Satversmes tiesa (Corte costituzionale) rileva anzitutto che il procedimento dinanzi ad essa pendente non riguarda l’articolo 141, paragrafo 2, della legge sulla circolazione stradale nella sua interezza, ma solo la parte in cui detta disposizione rende accessibili al pubblico le informazioni riguardanti i punti di penalità contenute nel registro nazionale dei veicoli.
28. Il medesimo giudice ritiene inoltre che detti punti di penalità siano dati personali e che debbano pertanto essere trattati in conformità al diritto al rispetto della vita privata. Esso sottolinea che, per valutare l’ambito di applicazione dell’articolo 96 della Costituzione lettone, occorre tener conto del RGPD, nonché dell’articolo 16 TFUE e dell’articolo 8 della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»).
29. Per quanto riguarda gli obiettivi della legge sulla circolazione stradale, il giudice del rinvio afferma che l’iscrizione nel registro delle sanzioni delle infrazioni commesse dai conducenti, qualificate in Lettonia come amministrative, e l’iscrizione nel registro nazionale dei veicoli dei punti di penalità mirano a incidere sul comportamento dei conducenti di veicoli e in tal modo a ridurre al minimo i rischi per la vita, la salute e i beni delle persone.
30. Il registro nazionale delle condanne costituisce un registro unico delle condanne delle persone che hanno commesso infrazioni (sia di natura penale sia di natura amministrativa), allo scopo, in particolare, di facilitare il controllo delle sanzioni imposte. Per contro, il registro nazionale dei veicoli rende possibile il monitoraggio delle infrazioni in materia di circolazione stradale e l’imposizione di misure a seconda del numero delle infrazioni commesse. Il sistema dei punti di penalità mira a migliorare la sicurezza stradale distinguendo i conducenti di veicoli che violano sistematicamente e intenzionalmente le norme sulla circolazione stradale da quelli che commettono infrazioni occasionali e influenzando in maniera dissuasiva il comportamento degli utenti della strada.
31. Il giudice del rinvio osserva che l’articolo 141, paragrafo 2, della legge sulla circolazione stradale conferisce a chiunque il diritto di chiedere e ottenere dalla CSDD le informazioni esistenti nel registro nazionale dei veicoli in relazione ai punti di penalità inflitti ai conducenti. In pratica, le informazioni sui punti di penalità sono fornite al richiedente nel momento in cui quest’ultimo indica il numero di identificazione nazionale del conducente interessato.
32. La Satversmes tiesa (Corte costituzionale) chiarisce poi che i punti di penalità, in quanto considerati informazioni accessibili al pubblico, rientrano nell’ambito di applicazione della legge sulla divulgazione delle informazioni e possono dunque essere riutilizzati a fini commerciali o non commerciali diversi dallo scopo iniziale per il quale le informazioni erano state create.
33. Al fine di interpretare e applicare l’articolo 96 della Costituzione lettone in conformità al diritto dell’Unione, il giudice del rinvio si chiede, anzitutto, se i punti di penalità come quelli imposti in base al diritto lettone rientrino nell’ambito di applicazione dell’articolo 10 del RGPD. In particolare, il giudice del rinvio chiede di accertare se l’articolo 141, paragrafo 2, della legge sulla circolazione stradale violi i requisiti di cui all’articolo 10 del RGPD, in base a cui il trattamento dei dati indicati in tale disposizione può avvenire soltanto «sotto il controllo dell’autorità pubblica» o in presenza di «garanzie appropriate per i diritti e le libertà degli interessati».
34. Detto giudice rileva che l’articolo 8, paragrafo 5, della direttiva 95/46, che lasciava ad ogni Stato membro il compito di valutare se le norme speciali in materia di dati relativi ai reati e alle condanne penali dovessero estendersi ai dati relativi alle infrazioni e alle sanzioni amministrative, era stato attuato in Lettonia dall’articolo 12 del Fizisko personu datu aizsardzības likums (legge sulla protezione dei dati delle persone fisiche), in base al quale i dati personali relativi alle infrazioni amministrative, al pari dei dati relativi a reati e condanne penali, potevano essere trattati solo dai soggetti e nei casi previsti dalla legge.
35. Ne consegue che per oltre dieci anni in Lettonia sono stati previsti requisiti analoghi per il trattamento dei dati personali in materia di reati e condanne penali e per il trattamento dei dati personali in materia di infrazioni amministrative.
36. Tale giudice rileva altresì che la portata dell’articolo 10 del RGPD deve, in conformità al considerando 4 del medesimo regolamento, essere valutata tenendo conto della funzione dei diritti fondamentali nella società. Esso ritiene, a tale riguardo, che l’obiettivo di garantire che la vita privata e professionale di una persona non sia indebitamente pregiudicata dal fatto che a tale persona sia stata inflitta una sanzione in passato potrebbe applicarsi tanto alle condanne penali quanto alle infrazioni amministrative.
37. La Satversmes tiesa (Corte costituzionale) chiede di accertare, in secondo luogo, l’ambito di applicazione dell’articolo 5 del RGPD. In particolare, essa si chiede se, alla luce del considerando 39 del medesimo regolamento, il legislatore lettone si sia conformato all’obbligo, previsto dall’articolo 5, paragrafo 1, lettera f), del RGDP, di garantire che i dati personali siano trattati con «integrità e riservatezza». Essa rileva che l’articolo 141, paragrafo 2, della legge sulla circolazione stradale, che, consentendo l’accesso alle informazioni sui punti di penalità, rende possibile determinare se una persona è stata sanzionata per un’infrazione stradale, non è stato accompagnato da misure specifiche che garantiscano la sicurezza di tali dati.
38. Detto giudice si chiede, in terzo luogo, se la direttiva 2003/98 sia pertinente al fine di valutare la compatibilità dell’articolo 141, paragrafo 2, della legge sulla circolazione stradale con l’articolo 96 della Costituzione lettone. Esso sottolinea che, in base a tale direttiva, il riutilizzo di dati personali può essere consentito soltanto se è rispettato il diritto alla vita privata.
39. In quarto luogo, alla luce della giurisprudenza della Corte secondo cui l’interpretazione del diritto dell’Unione fornita in via pregiudiziale ha efficacia erga omnes ed ex tunc, il giudice del rinvio si chiede se possa comunque, qualora l’articolo 141, paragrafo 2, della legge sulla circolazione stradale sia dichiarato incompatibile con l’articolo 96 della Costituzione lettone, letto alla luce del diritto dell’Unione così come interpretato dalla Corte, stabilire che gli effetti giuridici dell’articolo 141, paragrafo 2, siano mantenuti fino alla data in cui è pronunciata la sentenza che ne dichiara l’incostituzionalità, sulla base del fatto che tale sentenza inciderà su un gran numero di rapporti giuridici.
40. A tale riguardo, il giudice del rinvio spiega che, in base al diritto lettone, un atto dichiarato incostituzionale deve essere considerato privo di efficacia a partire dalla data di pubblicazione della sentenza della Satversmes tiesa (Corte costituzionale), salvo che quest’ultima non decida altrimenti. Esso spiega inoltre la sua prassi di tentare di creare un equilibrio, nel fissare la data a partire dalla quale la disposizione dichiarata incostituzionale cessa di essere in vigore, tra il principio di certezza del diritto e i diritti fondamentali dei diversi interessati.
41. È in tale contesto che, con ordinanza del 4 giugno 2019, pervenuta alla Corte l’11 giugno 2019, la Satversmes tiesa (Corte costituzionale) ha sottoposto alla Corte le seguenti questioni pregiudiziali:
«1) Se la nozione di “trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza”, di cui all’articolo 10 del [RGPD], debba essere interpretata nel senso che include il trattamento di informazioni riguardanti i punti inflitti ai conducenti per infrazioni stradali previsto nella norma controversa.
2) Indipendentemente dalla risposta alla prima questione, se le disposizioni del [RGPD], in particolare il principio di “integrità e riservatezza” di cui all’articolo 5, paragrafo 1, lettera f), del medesimo, debbano essere interpretate nel senso che vietano agli Stati membri di stabilire che le informazioni riguardanti i punti inflitti ai conducenti per infrazioni stradali siano accessibili al pubblico e che i dati corrispondenti possano essere trattati mediante comunicazione degli stessi.
3) Se i considerando 50 e 154, gli articoli 5, paragrafo 1, lettera b), e 10 del [RGPD] e l’articolo 1, paragrafo 2, lettera c quater), della direttiva 2003/98/CE, debbano essere interpretati nel senso che ostano a una normativa di uno Stato membro che consente la trasmissione delle informazioni riguardanti i punti inflitti ai conducenti per infrazioni stradali a fini del loro riutilizzo.
4) In caso di risposta affermativa a una qualsiasi delle questioni di cui sopra, se il principio del primato del diritto dell’Unione e il principio della certezza del diritto debbano essere interpretati nel senso che potrebbe essere possibile applicare la norma controversa e mantenere i suoi effetti giuridici fino al passaggio in giudicato della decisione finale adottata dalla [Satversmes tiesa (Corte costituzionale)]».
42. I governi lettone, dei Paesi Bassi, austriaco e portoghese nonché la Commissione europea hanno presentato osservazioni scritte.
43. Nel contesto relativo alla diffusione del virus SARS-CoV-2, la Corte ha deciso di annullare l’udienza nella presente causa, che era stata fissata per l’11 maggio 2020. Nell’ambito delle misure di organizzazione del procedimento e in via eccezionale, la Corte ha deciso di sostituire tale udienza con quesiti ai quali rispondere per iscritto. I governi lettone e svedese nonché la Commissione hanno risposto ai quesiti posti dalla Corte.
IV. Valutazione
44. La domanda di pronuncia pregiudiziale in oggetto solleva una serie di questioni fondamentali riguardo al RGPD. Tutte le questioni di cui trattasi, tuttavia, presuppongono l’applicabilità del RGPD al caso di specie (12). Pongo tale problematica in considerazione del fatto che l’Unione europea non ha legiferato nel campo dei punti di penalità per le infrazioni in materia di circolazione stradale.
A. Sull’ambito di applicazione materiale del RGPD – Articolo 2, paragrafo 2, lettera a)
45. Ai sensi dell’articolo 2, paragrafo 2, lettera a), del RGPD, detto regolamento non si applica ai trattamenti di dati personali effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione. Risulta in modo evidente che, mentre l’articolo 2, paragrafo 1, del RGPD formula positivamente ciò che rientra nell’ambito di applicazione di detto regolamento (13), l’articolo 2, paragrafo 2 esclude quattro tipi di attività dal suo ambito di applicazione. Trattandosi di un’eccezione a una regola generale, l’articolo 2, paragrafo 2, del RGPD deve essere interpretato in senso restrittivo (14).
46. Il legislatore dell’Unione ha scelto di ricorrere a un regolamento quale forma di strumento giuridico per incrementare il grado di uniformità del diritto dell’Unione in materia di protezione dei dati, in particolare per creare condizioni di parità tra gli operatori (economici) nel mercato interno, indipendentemente dal luogo in cui sono stabiliti (15).
47. L’articolo 16 TFUE non soltanto contiene la base giuridica per l’adozione di testi come il RGPD, ma costituisce anche, più in generale, rientrando nella parte prima, titolo II, del Trattato sul funzionamento dell’Unione europea (16), una disposizione orizzontale di carattere costituzionale che deve essere presa in considerazione nell’esercizio di qualsiasi competenza dell’Unione.
48. Al pari della normativa che l’ha preceduto, ossia la direttiva 95/46, il RGPD mira a garantire un livello elevato di protezione dei diritti e delle libertà fondamentali delle persone fisiche, in particolare del diritto alla vita privata, con riguardo al trattamento di dati personali (17).
49. La formulazione dell’articolo 2, paragrafo 2, lettera a), del RGPD rispecchia in sostanza quella dell’articolo 16, paragrafo 2, TFUE (18), che costituisce la base giuridica di tale regolamento ai sensi del diritto primario. In base all’articolo 16, paragrafo 2, TFUE, il legislatore dell’Unione deve stabilire le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte degli Stati membri «nell’esercizio di attività che rientrano nel campo di applicazione del diritto dell’Unione, e le norme relative alla libera circolazione di tali dati» (19). Detta disposizione ha dunque natura dichiarativa. Di conseguenza, l’analisi che segue si applica in egual misura all’articolo 2, paragrafo 2, lettera a), del RGPD e all’articolo 16, paragrafo 2, TFUE.
50. Il primo elemento che occorre rilevare consiste nel fatto che la formulazione dell’articolo 2, paragrafo 2, lettera a), del RGPD («attività che non rientrano nell’ambito di applicazione del diritto dell’Unione») è diversa da quella dell’articolo 51, paragrafo 1, della Carta (20), in base a cui «[l]e disposizioni della presente Carta si applicano (…) agli Stati membri esclusivamente nell’attuazione del diritto dell’Unione» (21).
51. Se si ravvisa in ciò un’indicazione del fatto che il tenore letterale dell’articolo 2, paragrafo 2, lettera a) del RGPD sia più ampio di quello dell’articolo 51, paragrafo 1, della Carta (22), dato che la Corte ha interpretato l’articolo 51, paragrafo 1, della Carta nel senso che la Carta si applica «quando una normativa nazionale rientra nell’ambito di applicazione del diritto dell’Unione» (23), non esiste alcuna differenza sostanziale tra la formulazione delle due disposizioni così come interpretate dalla Corte (24).
52. Ciò premesso, non ritengo che si debbano trarre analogie con la giurisprudenza della Corte per quanto riguarda l’ambito di applicazione della Carta (25). Ciò sarebbe troppo restrittivo e in contrasto con la finalità perseguita dall’articolo 16 TFUE e dal RGPD. Infatti, la logica della Carta è completamente diversa da quella del RGPD: la Carta ha lo scopo di regolare l’esercizio dei poteri da parte delle istituzioni dell’Unione e degli Stati membri quando essi operano nell’ambito di applicazione del diritto dell’Unione e, viceversa, forniscono ai singoli uno scudo per far valere i loro rispettivi diritti. La protezione dei dati personali è invece più di un diritto fondamentale. Come dimostra l’articolo 16 TFUE (26), la protezione dei dati costituisce di per sé un settore della politica dell’Unione. L’obiettivo del RGPD consiste nel fatto che esso si applichi a qualsiasi forma di trattamento di dati personali, indipendentemente dal relativo oggetto, e, per inciso, indipendentemente dal fatto che tale trattamento sia effettuato da Stati membri o da persone fisiche. Un’interpretazione restrittiva dei termini dell’articolo 2, paragrafo 2, lettera a), del RGPD vanificherebbe completamente tale obiettivo. Il RGPD, concepito per essere una tigre in materia di protezione dei dati, finirebbe per essere un gattino domestico.
53. La mera esistenza di una disposizione come l’articolo 10 del RGPD, che sarà interpretato dettagliatamente nell’ambito della mia analisi relativa alla prima questione del giudice del rinvio, è emblematica a tale riguardo. Se il RGPD riguarda «[i]l trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1» del RGPD (27) in un momento in cui le condanne penali e i reati sono stabiliti in modo quasi esclusivo in base al diritto nazionale e non al diritto dell’Unione, a meno che l’articolo 10 del RGPD non sia invalido, detto regolamento non può avere la funzione accessoria che è propria della Carta.
54. Lo stesso vale per l’esistenza dell’articolo 87 del RGPD, che consente agli Stati membri di precisare ulteriormente le condizioni specifiche per il trattamento di un numero di identificazione nazionale (28).
55. Occorre inoltre tener conto del considerando 16 del RGPD che, nella parte non prescrittiva ma comunque istruttiva di tale regolamento, rispecchia l’articolo 2 del RGPD. In esso la sicurezza nazionale è menzionata come esempio di un settore che esula dall’ambito di applicazione del diritto dell’Unione. Lo stesso dicasi per la dichiarazione, parimenti non vincolante, relativa all’articolo 16 del Trattato sul funzionamento dell’Unione europea (29), in cui si dichiara che «ogniqualvolta le norme in materia di protezione dei dati personali da adottare in base all’articolo 16 [TFUE] possano avere implicazioni dirette per la sicurezza nazionale, si dovrà tenere debito conto delle caratteristiche specifiche della questione» e in cui si rammenta che «in particolare la direttiva 95/46 (…) prevede deroghe specifiche al riguardo» (30).
56. Tale esplicita attenzione alla sicurezza nazionale è una chiara indicazione di ciò che avevano in mente sia gli autori del Trattato sul funzionamento dell’Unione europea (Articolo 16 TFUE) sia il legislatore dell’Unione [Articolo 2, paragrafo 2, lettera a), del RGPD] quando hanno redatto i rispettivi passaggi.
57. Il legislatore dell’Unione ha precisato altrove, sempre nell’ambito della protezione dei dati, che la sicurezza nazionale nel contesto di cui trattasi deve essere intesa come «sicurezza dello Stato» (31).
58. A tal proposito, l’articolo 2, paragrafo 2, lettera a), del RGPD dovrebbe essere esaminato alla luce dell’articolo 4, paragrafo 2, TUE, il quale sancisce che l’Unione europea rispetta le funzioni essenziali dello Stato proprie degli Stati membri (32) e a tale riguardo precisa, ad esempio, che «la sicurezza nazionale resta di esclusiva competenza di ciascuno Stato membro». L’articolo 2, paragrafo 2, lettera a), del RGPD si limita a ribadire detto requisito costituzionale di ciò che si deve garantire affinché uno Stato funzioni (33).
59. Sulla base della precedente analisi, non ho motivo di ritenere che l’articolo 2, paragrafo 2, lettera a), del RGPD introduca un criterio con una soglia elevata da raggiungere per determinare l’applicabilità del RGPD, né che tale sarebbe stata l’intenzione del legislatore dell’Unione.
60. Infine, un rapido sguardo alle altre tre eccezioni all’ambito di applicazione materiale del RGPD, contenute nell’articolo 2, paragrafo 2, lettere da b) a d), conferma la suddetta analisi. Il RGPD non si applica pertanto ai trattamenti di dati personali effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione della politica estera e di sicurezza comune dell’Unione (34), effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico (35) e effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse (36).
61. L’esclusione della politica estera e di sicurezza comune, che resta prevalentemente intergovernativa, è soltanto logica (37). Le attività a carattere esclusivamente personale o domestico svolte da persone fisiche non rientrano in ogni caso, in linea di principio, nell’ambito di applicazione del diritto dell’Unione in quanto esse non sono disciplinate dal diritto primario o secondario. Lo stesso vale, in linea di principio, per la prevenzione, l’indagine, l’accertamento o il perseguimento di reati o l’esecuzione di sanzioni penali. Tuttavia, tale ultima eccezione è motivata dal fatto che l’Unione ha adottato una direttiva specifica (38), per inciso nella stessa data in cui è stato adottato il RGPD. Inoltre, dall’articolo 23, paragrafo 1, lettera d), del RGPD risulta in modo evidente che i trattamenti di dati personali effettuati agli stessi fini da soggetti privati rientrano nell’ambito di applicazione del RGPD (39).
62. Di conseguenza, se devono avere una qualche rilevanza giuridica normativa, non si può ritenere che le ultime due eccezioni esulino dall’ambito di applicazione del diritto dell’Unione ai sensi dell’articolo 2, paragrafo 2, lettera a), del RGPD.
63. Occorre infine sottolineare che non vi è alcuna prova evidente che la Corte applicherebbe, in linea di principio, un criterio rigoroso per quanto riguarda l’ambito di applicazione del RGPD o della direttiva 95/46 rispettivamente in base all’articolo 2 del RGPD e all’articolo 3 della direttiva 95/46 (40). Al contrario, la Corte tende ad evidenziare che «l’applicabilità della direttiva 95/46 non può dipendere dalla soluzione del problema se le situazioni concrete di cui trattasi nelle cause principali presentino un nesso sufficiente con l’esercizio delle libertà fondamentali garantite dal Trattato» (41).
64. Per concludere la parte preliminare dell’analisi di cui trattasi, secondo una corretta interpretazione dell’articolo 2, paragrafo 2, lettera a), del RGPD, detto regolamento si applica ai trattamenti di dati personali effettuati in o da uno Stato membro, a meno che tali trattamenti non siano effettuati in un settore in cui l’Unione europea non è competente.
65. Di conseguenza, il RGPD si può applicare al caso di specie e il giudice del rinvio ne deve tenere conto nell’esaminare la validità del diritto nazionale.
B. Sull’articolo 86 del RGPD
66. Per completezza, vorrei soffermarmi brevemente sulla disposizione dell’articolo 86 del RGPD nel caso di specie.
67. Ai sensi di tale articolo, i dati personali contenuti in documenti ufficiali in possesso di un’autorità pubblica o di un organismo pubblico o privato per l’esecuzione di un compito svolto nell’interesse pubblico possono essere comunicati da tale autorità o organismo conformemente al diritto dell’Unione o degli Stati membri cui l’autorità pubblica o l’organismo pubblico sono soggetti, al fine di conciliare l’accesso del pubblico ai documenti ufficiali e il diritto alla protezione dei dati personali ai sensi del RGPD.
68. Detta disposizione non fa altro che riconoscere l’importanza dell’accesso del pubblico ai documenti ufficiali. Inoltre, come correttamente sottolineato dalla Commissione, tale disposizione non fornisce ulteriori indicazioni su come l’accesso del pubblico ai documenti ufficiali debba essere conciliato con le norme in materia di protezione dei dati (42). Tale disposizione ha una natura alquanto dichiarativa, più simile a un considerando che a una disposizione prescrittiva di un testo giuridico (43). Di conseguenza, direi che la «norma narrativa» dell’articolo 86 del RGPD non incide affatto sull’analisi che segue.
C. Prima questione: punti inflitti per infrazioni stradali ai sensi dell’articolo 10 del RGPD
69. Con la prima questione, il giudice del rinvio chiede di accertare se l’articolo 10 del RGPD debba essere interpretato nel senso che esso include situazioni di trattamento di informazioni riguardanti i punti di penalità inflitti ai conducenti per infrazioni stradali come previsto dal diritto nazionale.
70. Conformemente a detta disposizione, il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, del RGPD (44), deve avvenire soltanto sotto il controllo dell’autorità pubblica (45). Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’autorità pubblica.
71. In considerazione del fatto che la CSDD sembra essere un’autorità ufficiale, nel senso di «pubblica», si potrebbe mettere in discussione la pertinenza della prima questione e ci si potrebbe chiedere se essa sia ipotetica nel senso attribuito dalla giurisprudenza della Corte sulla ricevibilità. Tuttavia, vorrei dissipare tali dubbi sottolineando che la presente causa riguarda sia la comunicazione dei punti di penalità (da parte della CSDD) sia il riutilizzo di detti dati da parte di altri organismi. Nella misura in cui la prima questione si riferisce a tali altri organismi, essa è, a mio avviso, ricevibile.
1. Dati personali
72. L’articolo 4, paragrafo 1, del RGPD stabilisce che per «dato personale» si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
73. Non vi è motivo di dubitare che le informazioni riguardanti i punti di penalità inflitti ai conducenti per infrazioni stradali costituiscano dati personali ai sensi dell’articolo 4, paragrafo 1, del RGPD.
2. … relativi alle condanne penali e ai reati o a connesse misure di sicurezza
74. Per quanto riguarda la nozione di «reati» di cui all’articolo 10 del RGPD, occorre osservare che non è del tutto chiaro in tutte le versioni linguistiche di detta disposizione se essa si riferisca soltanto alle infrazioni penali o se comprenda anche le infrazioni amministrative. L’interpretazione più naturale e intuitiva della versione in lingua inglese è che il termine «criminal» sia stato collocato, per così dire, prima della parentesi e si riferisca tanto a «convictions» (condanne) quanto a «offences» (reati). A tal riguardo, alcune versioni linguistiche (46) non lasciano spazio a dubbi: la nozione di «reati» di cui all’articolo 10 del RGPD deve essere intesa come infrazione «penale». Altre versioni linguistiche (47) sono ambigue in quanto si prestano a più di un’interpretazione. Anche la versione in lettone (saistītiem drošības pasākumiem), che si presume sia la versione con cui il giudice del rinvio ha maggiore familiarità, è ambigua. In tale caso, non solo non è precisato se i «reati» (pārkāpumi) debbano essere di natura penale, ma è anche lasciata in sospeso la questione se le «condanne» (sodāmība) siano di natura penale (48).
75. Anche se le diverse versioni linguistiche possono apparire variegate, a questo punto si possono tuttavia formulare alcune conclusioni.
76. Tutte le lingue ufficiali dell’Unione europea costituiscono le lingue autentiche degli atti in cui sono redatti, di modo che a tutte le versioni linguistiche di un atto dell’Unione deve, in linea di principio, essere riconosciuto lo stesso valore (49). L’interpretazione di una norma di diritto dell’Unione comporta quindi il raffronto delle varie versioni linguistiche (50). Inoltre, le varie versioni linguistiche di un testo di diritto dell’Unione devono essere interpretate in modo uniforme (51).
77. In tali circostanze, è il significato delle versioni linguistiche più «precise» che deve essere ritenuto corretto, in particolare essendo tale significato più preciso anche una delle possibili interpretazioni in base alle versioni linguistiche meno precise, in cui una possibilità è che il termine «reati» sia interpretato come avente soltanto natura «penale». Posso dunque concludere, a titolo provvisorio, in questa fase che, in base a una lettura comparativa delle diverse versioni linguistiche dell’articolo 10 del RGPD, il termine «penale» si riferisce sia alle «condanne» sia ai «reati» (52).
78. Tale proposta di interpretazione dell’articolo 10 del RGPD, inoltre, mantiene la distinzione operata dalla norma che l’ha preceduta, ossia l’articolo 8, paragrafo 5, della direttiva 95/46. In base a tale precedente disposizione, il controllo dell’autorità pubblica era obbligatorio per il trattamento di dati relativi a infrazioni e condanne penali (53), mentre per le sanzioni amministrative esisteva la possibilità di subordinare il trattamento dei dati al controllo dell’autorità pubblica (54). Se in base all’articolo 8, paragrafo 5, della direttiva 95/46 il termine «infrazioni» fosse stato inteso in modo tale da ricomprendere le «infrazioni amministrative», la seconda parte di tale disposizione sarebbe stata ridondante.
79. La suddetta conclusione lascia ancora aperta la questione relativa a come esattamente debba intendersi il termine «reati».
80. Il primo aspetto a tale riguardo consiste nella questione se tale termine costituisca un termine autonomo del diritto dell’Unione o se l’interpretazione dello stesso debba essere lasciata agli Stati membri.
81. Secondo una costante giurisprudenza della Corte, dalle esigenze tanto dell’applicazione uniforme del diritto dell’Unione quanto del principio di uguaglianza discende che i termini di una disposizione del diritto dell’Unione, la quale non contenga alcun rinvio espresso al diritto degli Stati membri al fine di determinare il suo senso e la sua portata, devono normalmente dar luogo, in tutta l’Unione, ad un’interpretazione autonoma e uniforme (55). In tale interpretazione occorre tenere conto della formulazione, degli obiettivi e del contesto della disposizione di cui trattasi nonché dell’insieme delle disposizioni del diritto dell’Unione. La genesi di una disposizione del diritto dell’Unione può altresì fornire elementi pertinenti per la sua interpretazione (56).
82. Nel caso di specie è evidente che la legislazione penale e le norme di procedura penale rientrano, in linea di principio, nella competenza degli Stati membri (57). Di conseguenza, gli Stati membri saranno in grado di determinare che cosa costituisce un reato (58).
83. Una volta che il legislatore dell’Unione ha scelto la forma giuridica del regolamento, anziché quella della direttiva, tuttavia, ritengo che un’interpretazione uniforme in tutta l’Unione europea dei termini del regolamento di cui trattasi dovrebbe essere la norma, in modo da garantire la generale applicazione e la diretta applicabilità dello stesso in tutti gli Stati membri, in linea con l’articolo 288, secondo comma, TFUE.
84. Analogamente, vi sono indicazioni che il legislatore dell’Unione non abbia voluto fare riferimento al diritto nazionale per quanto riguarda l’interpretazione del termine «reati». Pertanto, il considerando 13 della direttiva 2016/680 (59) stabilisce che un reato ai sensi della direttiva in oggetto dovrebbe costituire un concetto autonomo del diritto dell’Unione come interpretato dalla Corte di giustizia dell’Unione europea. In uno spirito a maiore ad minus, direi che una siffatta affermazione si applica anche al RGPD, che, come appena osservato, costituisce, in quanto regolamento, un atto giuridico automaticamente dotato di un grado più elevato di integrazione e centralizzazione.
85. Il secondo aspetto, che consiste nel determinare se i dati personali in oggetto riguardino condanne penali e reati o connesse misure di sicurezza ai sensi dell’articolo 10 del RGPD, è più complesso.
86. La Corte ha avuto in precedenza l’occasione di pronunciarsi sulla definizione di «reato» nell’ambito del principio del ne bis in idem (60) di cui all’articolo 50 della Carta (61).
87. A tal riguardo, la Corte si basa sulla giurisprudenza della Corte europea dei diritti dell’uomo (62), in base a cui per definire l’espressione «procedura penale» sono pertinenti tre criteri: la qualificazione giuridica dell’infrazione nel diritto nazionale, la natura dell’infrazione e la natura e il grado di severità della sanzione in cui l’interessato rischia di incorrere (63).
88. I punti di penalità come quelli imposti a norma del diritto nazionale di cui trattasi non possono, a mio avviso, essere considerati un reato in base a detta giurisprudenza, in quanto non soddisfano tali criteri. Segnatamente, essi non hanno una natura particolarmente severi (64).
89. Vorrei infine sottolineare che, a seguito di tale analisi, non è necessario analizzare la delimitazione tra l’articolo 10 del RGPD e le disposizioni della direttiva 2016/680, in quanto quest’ultimo strumento giuridico non è applicabile al caso di specie.
3. Risposta proposta
90. Propongo pertanto di rispondere alla prima questione dichiarando che l’articolo 10 del RGPD deve essere interpretato nel senso che non include situazioni di trattamento di informazioni riguardanti i punti di penalità inflitti ai conducenti per infrazioni stradali, come previsto da una disposizione nazionale quale l’articolo 141, paragrafo 2, della legge sulla circolazione stradale.
D. Seconda questione: comunicazione dei punti inflitti
91. Con la seconda questione, il giudice del rinvio chiede di accertare, in sostanza, se le disposizioni del RGPD vietino agli Stati membri il trattamento e la comunicazione delle informazioni riguardanti i punti di penalità inflitti ai conducenti per infrazioni stradali.
92. Sebbene il giudice del rinvio menzioni, a titolo esemplificativo, il principio di integrità e riservatezza di cui all’articolo 5, paragrafo 1, lettera f), del RGPD (65), la questione è formulata in termini ampi, in quanto si riferisce alle disposizioni di tale regolamento nel loro complesso (66). La seguente analisi si estenderà dunque a disposizioni del RGPD diverse da quella menzionata dal giudice del rinvio nella questione pregiudiziale.
93. Ogni trattamento di dati personali deve, da un lato, essere conforme ai principi relativi alla qualità dei dati elencati all’articolo 5 del RGPD e, dall’altro, rispondere a uno dei principi legittimanti un trattamento dei dati enumerati all’articolo 6 di detto regolamento (67). Dalla formulazione delle due disposizioni in esame si può dedurre che i primi hanno carattere cumulativo (68) mentre i secondi hanno carattere alternativo (69).
94. La seconda questione riguarda i principi relativi alla qualità dei dati. Il giudice del rinvio sembra – correttamente – supporre che la CSDD effettui il trattamento di dati e non mette in discussione l’inflizione dei punti di penalità in quanto tale, bensì la comunicazione dei punti a seguito di richiesta.
95. È innegabile che la CSDD sia un «titolare del trattamento» ai sensi dell’articolo 4, punto 7, del RGPD, che effettua il trattamento dei dati personali conformemente all’articolo 4, punto 2, del medesimo regolamento, iscrivendo i punti di penalità nel registro nazionale dei veicoli.
96. Basti ricordare che, secondo la Corte, per quanto riguarda un «registro delle imprese» soggetto a pubblicità, nel trascrivere e conservare le informazioni in tale registro e, nel comunicarle, se del caso, a terzi su richiesta, l’autorità incaricata della tenuta del registro effettua un «trattamento di dati personali», per il quale essa è «responsabile», secondo le definizioni contenute nella direttiva 95/46 (70), che costituiscono i predecessori delle definizioni contenute nell’articolo 4, punti 2 e 7, del RGPD (71).
1. Sull’articolo 5, paragrafo 1, lettera f), del RGPD: integrità e riservatezza
97. Ciò pone la questione se siano stati rispettati i principi di integrità e riservatezza, sanciti nell’articolo 5, paragrafo 1, lettera f), del RGPD, disposizione a cui lo stesso giudice del rinvio fa riferimento nella questione pregiudiziale.
98. Ai sensi dell’articolo 5, paragrafo 1, lettera f), del RGPD, i dati personali sono trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
99. Come risulta chiaramente dalla sua formulazione, la disposizione di cui trattasi riguarda misure di sicurezza, tecniche e organizzative utilizzate in relazione al trattamento di dati personali (72). Nel caso di specie si tratta di requisiti formali generali relativi alla sicurezza dei dati (73).
100. Per contro, il giudice del rinvio chiede indicazioni di natura più sostanziale e che facciano riferimento alla possibilità giuridica di tale trattamento. Per dirla in modo diverso e in termini più figurativi, tale giudice si interroga sul se del trattamento dei dati personali, mentre l’articolo 5, paragrafo 1, lettera f), del RGPD concerne il come di un siffatto trattamento. Di conseguenza, l’articolo 5, paragrafo 1, lettera f), del RGPD non è pertinente ai fini del caso di specie.
2. Sull’articolo 5, paragrafo 1, lettera a), del RGPD: liceità, correttezza e trasparenza
101. Ai sensi dell’articolo 5, paragrafo 1, lettera a), del RGPD, i dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato.
102. Occorre osservare che il termine «liceità» figura sia nell’articolo 5, paragrafo 1, lettera a), sia nell’articolo 6 del RGPD. Leggere i dettagliati requisiti dell’articolo 6 nell’articolo 5 del medesimo regolamento avrebbe ben poco senso dal punto di vista della redazione legislativa se l’articolo 5 dovesse contenere anche i criteri dell’articolo 6 del RGPD.
103. La liceità ai sensi dell’articolo 5, paragrafo 1, lettera a), del RGPD dovrebbe invece essere letta alla luce del considerando 40 di tale regolamento (74), in base a cui il trattamento deve fondarsi sul consenso o su altra base legittima prevista per legge (75).
104. Ciò premesso (vi è una base legittima ai sensi del diritto nazionale), non vedo alcun motivo per mettere in discussione la liceità del trattamento nella presente causa (76).
105. Condivido pertanto le osservazioni del governo austriaco (77), secondo cui detto principio non è pertinente rispetto ai fatti del caso di specie.
3. Sull’articolo 5, paragrafo 1, lettera b), del RGPD: limitazione della finalità
106. L’articolo 5, paragrafo 1, lettera b), del RGPD sancisce il principio della «limitazione della finalità» affermando che i dati personali sono raccolti per finalità determinate, esplicite e legittime e un ulteriore trattamento non può essere incompatibile con tali finalità (78).
107. Il giudice del rinvio spiega che la disposizione in esame, l’articolo 141, paragrafo 2, della legge sulla circolazione stradale, persegue l’obiettivo della sicurezza stradale, esponendo i conducenti che non rispettano le regole. La comunicazione dei punti di penalità sembra di per sé una finalità determinata, esplicita e legittima. Inoltre, il trattamento dei dati personali non appare incompatibile con detta finalità.
4. Sull’articolo 5, paragrafo 1, lettera c), del RGPD: minimizzazione dei dati
108. Ai sensi dell’articolo 5, paragrafo 1, lettera c), del RGPD, il principio della minimizzazione dei dati esige che i dati personali siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Simmetricamente, il considerando 39 del RGPD stabilisce che i dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi.
109. A mio avviso, detto principio riflette, al pari di altri principi sanciti dall’articolo 5, paragrafo 1, del RGPD, il principio di proporzionalità (79), ragion per cui ritengo opportuno esaminare, a questo punto, se la normativa nazionale di cui trattasi sia proporzionata all’obiettivo che intende raggiungere.
110. Secondo costante giurisprudenza, il principio di proporzionalità, che è parte integrante dei principi generali del diritto dell’Unione, esige che gli strumenti istituiti da un atto dell’Unione siano idonei a realizzare l’obiettivo perseguito e non vadano oltre quanto è necessario per raggiungerlo (80).
111. L’articolo 141, paragrafo 2, della legge sulla circolazione stradale, infatti, deve essere idoneo e necessario a realizzare l’obiettivo perseguito, ossia il miglioramento della sicurezza stradale.
a) Idoneità
112. Il primo obiettivo perseguito dalla normativa nazionale di cui trattasi consiste nell’identificare i conducenti di veicoli che violano sistematicamente le norme sulla circolazione stradale. È evidente che l’identificazione di coloro che violano le norme sulla circolazione stradale non dipende in alcun modo dal carattere pubblico (accessibile a livello generale) dei punti di penalità inflitti a chi commette un’infrazione stradale. Rientra nella competenza esclusiva dell’autorità pubblica l’accurata identificazione di detti trasgressori e la registrazione dei punti di penalità loro inflitti in modo tale che ne derivino le conseguenze giuridiche adeguate e possano essere applicate nei loro confronti le relative sanzioni.
113. Il secondo obiettivo della disposizione della normativa nazionale che autorizza la divulgazione dei dati personali di cui trattasi, invocata dalla Seima, consiste nell’influenzare in via preventiva il comportamento degli utenti della strada, al fine di scoraggiare la commissione di ulteriori infrazioni da parte di potenziali trasgressori. A tal proposito, si potrebbe ammettere che dare a chiunque l’opportunità di sapere chi sta violando le norme sulla circolazione stradale può avere un qualche effetto deterrente: molti conducenti si opporrebbero probabilmente alla divulgazione al pubblico di tali informazioni su di loro, per non essere etichettati come trasgressori della legge.
114. Detta finalità è altresì definita chiaramente nell’articolo 431 della legge sulla circolazione stradale come l’obiettivo perseguito con l’introduzione del sistema dei punti di penalità. È piuttosto ovvio che il fatto di rendere pubblici i punti di penalità possa, in una certa misura, costituire un fattore deterrente aggiuntivo. La disposizione di cui trattasi sarebbe pertanto, in linea di principio, conforme all’interesse generale perseguito, ossia la promozione della sicurezza stradale e la prevenzione degli incidenti stradali.
115. Ciò premesso, se i dati personali sono resi accessibili soltanto a seguito di richiesta e se il richiedente fornisce il numero di identificazione personale dell’interessato, ciò pone la questione di quanto sia difficile ottenere detto numero. Infatti, quanto più difficile è ottenere tali dati, tanto meno dissuasivo sarà il regime relativo alla divulgazione, in quanto l’accessibilità al pubblico di tali dati dipenderà da altri fattori difficilmente prevedibili.
116. Per tale motivo nutro seri dubbi circa l’idoneità della normativa nazionale di cui trattasi.
117. Spetta al giudice del rinvio decidere, alla luce di tutte le circostanze del caso di specie, se l’articolo 141, paragrafo 2, della legge sulla circolazione stradale sia veramente idoneo a realizzare l’obiettivo legittimo di migliorare la sicurezza stradale.
b) Necessità
118. Per quanto riguarda la questione della necessità, vale a dire il requisito che la misura in oggetto non vada oltre quanto è necessario per raggiungere l’obiettivo perseguito, la situazione appare più definita.
119. Spetta ancora una volta al giudice del rinvio decidere, tenuto conto di tutte le circostanze del caso di specie, se la disposizione di cui trattasi sia veramente necessaria. Tuttavia, sulla base delle informazioni disponibili, non vedo come la suddetta disposizione possa in ogni caso essere considerata necessaria.
120. Nonostante l’importanza dell’obiettivo di promuovere la sicurezza stradale, occorre trovare il giusto equilibrio tra i diversi interessi in gioco e, di conseguenza, spetta al legislatore nazionale decidere se la divulgazione dei dati personali in oggetto vada oltre quanto è necessario per raggiungere i legittimi obiettivi perseguiti, tenendo conto in particolare della violazione dei diritti fondamentali determinata da siffatta divulgazione.
121. La decisione di rinvio non indica se la Saeima, prima di adottare la disposizione di cui trattasi, abbia preso in considerazione altri strumenti per realizzare l’obiettivo di promuovere la sicurezza stradale che avrebbero comportato una minore interferenza con il diritto dei soggetti privati alla protezione dei dati. Inoltre, il legislatore deve essere in grado di dimostrare che le deroghe e le limitazioni alla protezione dei dati siano rigorosamente conformi ai limiti imposti. Un’attenta valutazione dell’impatto sulla protezione dei dati dovrebbe essere effettuata prima della pubblicazione di una serie di dati (o prima dell’adozione di una legge che ne richiede la pubblicazione), ivi compresa una valutazione delle possibilità di riutilizzo e del potenziale impatto del riutilizzo.
122. L’esistenza e l’esattezza di siffatte informazioni sono essenziali per decidere se gli obiettivi di favorire la sicurezza stradale e ridurre gli incidenti possano essere realizzati mediante misure che recherebbero minor pregiudizio ai diritti degli interessati e pertanto eviterebbero o almeno attenuerebbero una violazione della protezione conferita dall’articolo 8 della Carta.
123. L’ingerenza nella vita privata causata dalla pubblicazione dei dati relativi alle infrazioni e alle sanzioni inflitte è, di per sé, particolarmente grave: essa divulga al pubblico informazioni sulle infrazioni commesse da un soggetto privato. Inoltre, non si può escludere che un siffatto trattamento dei dati, inerente alla pubblicazione dei dati di cui trattasi, possa comportare la stigmatizzazione del trasgressore e altre conseguenze negative. Tali «liste nere» devono dunque essere disciplinate in modo rigoroso.
124. Infine, come affermato dall’Agenzia per la protezione dei dati, la natura preventiva della disposizione in esame e le statistiche che indicano un andamento favorevole, ossia una riduzione del numero di incidenti stradali, non dimostrano che detta riduzione sia di per sé collegata all’introduzione del sistema di punti di penalità o al fatto che le informazioni relative ai punti di penalità iscritti nel registro siano accessibili al pubblico.
5. Risposta proposta
125. Propongo dunque alla Corte di rispondere alla seconda questione dichiarando, di conseguenza, che l’articolo 5, paragrafo 1, lettera c), del RGPD osta ad una normativa nazionale come l’articolo 141, paragrafo 2, della legge sulla circolazione stradale, che consente il trattamento e la comunicazione delle informazioni riguardanti i punti di penalità inflitti ai conducenti per le infrazioni stradali.
E. Terza questione: riutilizzo dei dati personali
1. Sulla direttiva 2003/98
126. Come sancito nell’articolo 1, paragrafo 1, della direttiva 2003/98, tale direttiva detta un complesso minimo di norme in materia di riutilizzo e di strumenti pratici per agevolare il riutilizzo dei documenti esistenti in possesso degli enti pubblici degli Stati membri.
127. Possiamo supporre, ai presenti fini, che i punti di penalità in Lettonia siano registrati in documenti in possesso della CSDD, in qualità di ente pubblico ai sensi della disposizione di cui trattasi.
128. Non si rientra tuttavia nell’ambito di applicazione della direttiva 2003/98 in quanto l’articolo 1, paragrafo 2, lettera c quater), della medesima afferma che tale direttiva non si applica ai documenti il cui accesso è escluso o limitato in virtù dei regimi di accesso per motivi di protezione dei dati personali (81). Inoltre, a norma dell’articolo 1, paragrafo 4, della direttiva 2003/98, la direttiva in oggetto non pregiudica in alcun modo il livello di tutela delle persone fisiche con riguardo al trattamento dei dati personali ai sensi delle disposizioni di diritto dell’Unione e nazionale e non modifica, in particolare, i diritti e gli obblighi previsti dal RGPD (82).
129. Da tali disposizioni risulta che il trattamento dei dati personali di cui trattasi deve essere valutato alla luce delle disposizioni dell’Unione sulla protezione dei dati, ossia il RGPD e non la direttiva 2003/98 (83).
2. Sul riutilizzo
130. Come correttamente osservato dal giudice del rinvio, se le informazioni riguardanti i punti di penalità inflitti ai conducenti per infrazioni stradali possono essere comunicate a chiunque, compresi gli operatori del riutilizzo, non sarà possibile individuare le finalità dell’ulteriore trattamento dei dati né valutare se il trattamento dei dati personali sia effettuato in modo incompatibile con tali finalità.
131. In tale contesto, la mia analisi della seconda questione si applica pienamente non solo mutatis mutandis ma anche a fortiori: le imprese private potrebbero essere tentate di sfruttare i dati personali per fini commerciali, vale a dire per finalità che sono da considerarsi incompatibili con la finalità del trattamento, che consiste nell’incrementare la sicurezza stradale.
132. La possibilità per i terzi di effettuare un ulteriore trattamento di dati personali eccede chiaramente la limitazione della finalità stabilita dall’articolo 5, paragrafo 1, lettera b), del RGPD.
3. Risposta proposta
133. Propongo di conseguenza di rispondere alla terza questione nel senso che una normativa nazionale come l’articolo 141, paragrafo 2, della legge sulla circolazione stradale, che consente il trattamento e la comunicazione, anche ai fini di riutilizzo, delle informazioni riguardanti i punti di penalità inflitti ai conducenti per infrazioni stradali, non è disciplinata dalle disposizioni della direttiva 2003/98. A tale normativa osta altresì l’articolo 5, paragrafo 1, lettera c), del RGPD.
F. Quarta questione
134. Con la quarta questione, il giudice del rinvio chiede di accertare se – nel caso in cui sia dichiarato che la normativa nazionale in esame è in contrasto con il diritto dell’Unione – sia possibile applicare la disposizione di cui trattasi e mantenere i suoi effetti giuridici fino al passaggio in giudicato della decisione finale adottata dalla Satversmes tiesa (Corte costituzionale).
135. Il giudice del rinvio chiede pertanto che gli effetti giuridici della disposizione di cui trattasi siano mantenuti fino a quando il medesimo non abbia adottato una decisione definitiva.
136. Secondo una giurisprudenza costante della Corte, l’interpretazione di una norma di diritto dell’Unione, che essa fornisce nell’esercizio della competenza attribuitale dall’articolo 267 TFUE, chiarisce e precisa il significato e la portata della norma stessa, nel senso in cui deve o avrebbe dovuto essere intesa e applicata sin dal momento della sua entrata in vigore (84). Ne deriva che la norma così interpretata può e deve essere applicata dal giudice anche a rapporti giuridici sorti e costituiti prima della sentenza che statuisce sulla domanda di interpretazione, purché sussistano, peraltro, i presupposti per sottoporre al giudice competente una lite relativa all’applicazione di detta norma (85). Solo in via del tutto eccezionale la Corte stessa, applicando il principio generale della certezza del diritto inerente all’ordinamento giuridico dell’Unione, può essere indotta a limitare la possibilità per gli interessati di far valere una disposizione da essa interpretata onde rimettere in discussione rapporti giuridici costituiti in buona fede (86).
137. In ogni caso, soltanto la Corte potrebbe determinare le condizioni di una possibile sospensione (87) e ciò per una buona ragione: se così non fosse, un giudice nazionale potrebbe rinviare gli effetti di tale decisione, pregiudicandone il carattere erga omnes, il cui obiettivo principale consiste nel garantire l’uniforme applicazione del diritto dell’Unione e la certezza del diritto in tutti gli Stati membri e creare condizioni di parità per Stati membri, cittadini e operatori economici. A tale riguardo, è inammissibile che norme di diritto nazionale, quand’anche di rango costituzionale, possano menomare l’unità e l’efficacia del diritto dell’Unione (88).
138. Affinché una tale limitazione possa essere disposta, è necessario che siano soddisfatti due criteri essenziali, vale a dire la buona fede degli ambienti interessati e il rischio di gravi inconvenienti (89).
139. Occorre aggiungere che in via del tutto eccezionale (90) la Corte ha fatto ricorso a tale soluzione e soltanto in circostanze ben precise: quando vi era un rischio di gravi ripercussioni economiche dovute, segnatamente, all’elevato numero di rapporti giuridici costituiti in buona fede sulla base della normativa ritenuta validamente vigente e quando risultava che i singoli e le autorità nazionali erano stati indotti ad adottare un comportamento non conforme al diritto dell’Unione in ragione di una oggettiva e rilevante incertezza circa la portata delle disposizioni di diritto dell’Unione, incertezza alla quale avevano eventualmente contribuito gli stessi comportamenti tenuti da altri Stati membri o dall’Unione (91).
140. Nella presente causa, le informazioni menzionate nella decisione di rinvio non consentono di concludere che un elevato numero di rapporti giuridici costituiti in buona fede sulla base della disposizione controversa sarebbero stati compromessi e, di conseguenza, che sarebbe particolarmente difficile garantire l’osservanza ex tunc della pronuncia pregiudiziale della Corte che dichiara l’incompatibilità di detta disposizione con il diritto dell’Unione.
141. Non è quindi necessario limitare gli effetti temporali della sentenza della Corte nel caso di specie.
142. Propongo pertanto di rispondere alla quarta questione nel senso che non è possibile applicare la disposizione di cui trattasi e mantenere i suoi effetti giuridici fino al passaggio in giudicato della decisione finale adottata dalla Satversmes tiesa (Corte costituzionale).
V. Conclusione
143. Alla luce delle considerazioni che precedono, propongo alla Corte di rispondere alle questioni pregiudiziali sollevate dalla Satversmes tiesa (Corte costituzionale, Lettonia) come segue:
1) L’articolo 10 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che non include situazioni di trattamento di dati personali riguardanti i punti di penalità inflitti ai conducenti per infrazioni stradali come previsto da una normativa nazionale quale l’articolo 141, paragrafo 2, del Ceļu satiksmes likums (legge sulla circolazione stradale).
2) L’articolo 5, paragrafo 1, lettera c), del regolamento 2016/679 osta a che uno Stato membro tratti e comunichi i dati personali riguardanti i punti di penalità inflitti ai conducenti per infrazioni stradali.
3) L’articolo 5, paragrafo 1, lettere b) e c), del regolamento 2016/679 osta a che uno Stato membro tratti e comunichi i dati personali riguardanti i punti di penalità inflitti ai conducenti per infrazioni stradali quando tale comunicazione è effettuata a fini di riutilizzo.
4) La direttiva 2003/98/CE del Parlamento europeo e del Consiglio, del 17 novembre 2003, relativa al riutilizzo dell’informazione del settore pubblico, non disciplina il trattamento e la comunicazione, anche a fini di riutilizzo, di dati personali riguardanti i punti di penalità inflitti ai conducenti per infrazioni stradali.
5) Non è possibile applicare la disposizione di cui trattasi e mantenere i suoi effetti giuridici fino al passaggio in giudicato della decisione finale adottata dalla Satversmes tiesa (Corte costituzionale).