Causa C‑439/19
B
(domanda di pronuncia pregiudiziale proposta dalla Latvijas Republikas Satversmes tiesa)
Sentenza della Corte (Grande Sezione) del 22 giugno 2021
«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articoli 5, 6 e 10 – Normativa nazionale che prevede l’accesso del pubblico ai dati personali relativi ai punti di penalità inflitti in caso di infrazioni stradali – Liceità – Nozione di “dati personali relativi a condanne penali e reati” – Divulgazione al fine di migliorare la sicurezza stradale – Diritto di accesso del pubblico ai documenti ufficiali – Libertà d’informazione – Conciliazione con i diritti fondamentali al rispetto della vita privata e alla protezione dei diritti personali – Riutilizzo dei dati – Articolo 267 TFUE – Effetti nel tempo di una pronuncia pregiudiziale – Possibilità per un giudice costituzionale di uno Stato membro di mantenere gli effetti giuridici di una normativa nazionale non compatibile con il diritto dell’Unione – Principi del primato del diritto dell’Unione e della certezza del diritto»»
1. Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Ambito di applicazione – Deroghe – Trattamento di dati nel contesto di un’attività che non rientra nel diritto dell’Unione – Attività diretta a salvaguardare la sicurezza nazionale o ascrivibile a tale categoria – Nozione – Attività diretta a migliorare la sicurezza stradale – Esclusione
[Regolamento del Parlamento europeo e del Consiglio 2016/679, considerando 16 e art. 2, § 2, a)]
(v. punti 61-68)
2. Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Ambito di applicazione – Deroghe – Trattamento di dati effettuato delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali – Nozione di autorità competente – Necessità del nesso con la protezione di dati personali nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia – Autorità pubblica nazionale che comunica al pubblico dati personali relativi ai punti di penalità inflitti per infrazioni stradali – Esclusione
[Regolamento del Parlamento europeo e del Consiglio 2016/679, considerando 19 e art. 2, § 2, d); direttiva del Parlamento europeo e del Consiglio 2016/680, considerando 10, 11 e art. 3, § 7]
(v. punti 69 ‑72)
3. Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Trattamento di dati personali relativi a condanne penali e reati – Nozione di dati relativi ai reati – Dati relativi ai punti di penalità – Inclusione – Nozione di reati – Natura penale – Criteri di valutazione – Infrazioni stradali che comportano l’irrogazione di punti di penalità – Inclusione
(Regolamento del Parlamento europeo e del Consiglio 2016/679, art. 10; direttiva del Parlamento europeo e del Consiglio 2016/680, considerando 13)
(v. punti 77-93, disp. 1)
4. Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Presupposti di liceità di un trattamento di dati personali – Trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri – Normativa nazionale che rende obbligatorio l’accesso del pubblico ai dati personali relativi ai punti di penalità e autorizza la comunicazione di tali dati a operatori economici a fini di riutilizzo – Obiettivo di interesse generale consistente nel miglioramento della sicurezza stradale – Assenza di necessità di tale trattamento dei dati personali – Inammissibilità – Diritti di accesso del pubblico ai documenti ufficiali e alla libertà di informazione – Irrilevanza – Primato dei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali
[Regolamento del Parlamento europeo e del Consiglio 2016/679, considerando 39, 154 e art. 5, § 1, 6, § 1, e), 10, 85, 86]
(v. punti 99, 106, 108-113, 120-122, 126, 129, disp. 2 e 3)
5. Questioni pregiudiziali – Interpretazione – Effetti nel tempo delle sentenze interpretative – Effetto retroattivo – Limitazione da parte della Corte – Principi di primato del diritto dell’Unione e di certezza del diritto – Possibilità per un giudice costituzionale di uno Stato membro di mantenere gli effetti giuridici di una normativa nazionale giudicata incompatibile con il diritto dell’Unione fino alla data della pronuncia della sua sentenza definitiva – Assenza
(Art. 267 TFUE)
(v. punti 132-137, disp. 4)
Sintesi
Il diritto dell’Unione in materia di protezione dei dati osta alla normativa lettone che obbliga l’autorità per la sicurezza stradale a rendere accessibili al pubblico i dati relativi ai punti di penalità inflitti ai conducenti per infrazioni stradali
Non è dimostrato che questo regime sia necessario per conseguire l’obiettivo perseguito, che consiste nel miglioramento della sicurezza stradale
B è una persona fisica alla quale sono stati inflitti punti di penalità per una o più infrazioni stradali. La Ceļu satiksmes drošības direkcija (CSDD) (Direzione per la sicurezza stradale, Lettonia) ha iscritto tali punti di penalità nel registro nazionale dei veicoli e dei conducenti.
In forza della normativa lettone sulla circolazione stradale (1), le informazioni inerenti ai punti di penalità inflitti ai conducenti di veicoli iscritti in tale registro sono accessibili al pubblico e sono comunicate dalla CSDD a chiunque ne faccia domanda – ivi compreso ad operatori economici a fini di riutilizzo – senza che il richiedente debba dimostrare un interesse specifico ad ottenere tali informazioni. B, nutrendo dubbi in merito alla legittimità di questa normativa, ha proposto un ricorso costituzionale dinanzi alla Latvijas Republikas Satversmes tiesa (Corte costituzionale, Lettonia), affinché esaminasse la conformità di tale normativa al diritto al rispetto della vita privata.
La Corte costituzionale ha ritenuto di dover tenere conto del regolamento generale sulla protezione dei dati (in prosieguo: il «RGPD») (2) nell’ambito della sua valutazione di tale diritto costituzionale. Pertanto, essa ha chiesto alla Corte di giustizia di chiarire la portata di diverse disposizioni del RGPD per accertare se la normativa lettone sulla circolazione stradale sia compatibile con tale regolamento.
Con la sua sentenza, pronunciata dalla Grande Sezione, la Corte statuisce che il RGPD osta alla normativa lettone. Essa constata che la necessità, segnatamente alla luce dell’obiettivo del miglioramento della sicurezza stradale addotto dal governo lettone, di comunicare dati personali relativi ai punti di penalità inflitti per infrazioni stradali, non è dimostrata. Peraltro, secondo la Corte, né il diritto del pubblico ad accedere ai documenti ufficiali, né il diritto alla libertà di informazione giustificano una normativa del genere.
Giudizio della Corte
In primo luogo, la Corte giudica che il trattamento dei dati personali relativi ai punti di penalità costituisce un «trattamento dei dati personali relativi alle condanne penali e ai reati» (3), per il quale il RGPD prevede una protezione maggiore in virtù del carattere particolarmente sensibile dei dati in causa.
In questo contesto, essa osserva che le informazioni relative ai punti di penalità costituiscono dati personali e che la loro trasmissione a terzi da parte della CSDD rappresenta un trattamento rientrante nell’ambito di applicazione materiale del RGPD. Tale ambito di applicazione, infatti, è alquanto ampio e detto trattamento non si annovera tra le eccezioni all’applicabilità di tale regolamento.
Infatti, da un lato, detto trattamento non è coperto dall’eccezione relativa all’inapplicabilità del RGPD a un trattamento effettuato nel contesto di un’attività che non rientra del diritto dell’Unione (4). Occorre considerare che questa eccezione mira unicamente ad escludere dall’ambito di applicazione del regolamento i trattamenti di dati personali effettuati dalle autorità statali nel contesto di un’attività volta a salvaguardare la sicurezza nazionale o di un’attività che possa essere ascritta alla stessa categoria. Tali attività includono segnatamente quelle volte a tutelare le funzioni essenziali dello Stato e gli interessi fondamentali della società. Orbene, le attività riguardanti la sicurezza stradale non perseguono un siffatto obiettivo e non possono, di conseguenza, essere ascritte alla categoria delle attività che hanno lo scopo di salvaguardare la sicurezza nazionale.
Dall’altro lato, la comunicazione dei dati personali relativi ai punti di penalità non costituisce neppure un trattamento contemplato dall’eccezione che comporta l’inapplicabilità del RGPD ai trattamenti di dati personali effettuati dalle autorità competenti in materia penale (5). La Corte dichiara infatti che la CSDD, quando effettua detta comunicazione, non può essere considerata alla stregua di una siffatta «autorità competente» (6).
Per accertare se l’accesso ai dati personali relativi alle infrazioni stradali, come i punti di penalità, costituisca un trattamento di dati personali relativi a «reati» (7), che godono di una maggiore protezione, la Corte constata, fondandosi segnatamente sulla genesi del RGPD, che tale nozione rinvia esclusivamente agli illeciti penali. Tuttavia, la circostanza che nel sistema giuridico lettone le infrazioni stradali siano qualificate come illeciti amministrativi non è dirimente per valutare se tali infrazioni rientrino nella nozione di «reato», in quanto si tratta di un concetto autonomo del diritto dell’Unione che richiede, in tutta l’Unione, un’interpretazione autonoma e uniforme. Pertanto, dopo aver ricordato i tre criteri pertinenti per valutare il carattere penale di un illecito, ossia la qualificazione giuridica dell’illecito nel diritto nazionale, la natura dell’illecito e il grado di severità della sanzione inflitta, la Corte statuisce che le infrazioni stradali in causa rientrano della nozione di «reato» ai sensi del RGPD. Per quanto attiene ai primi due criteri, la Corte constata che, anche se gli illeciti non sono qualificati come «penali» dal diritto nazionale, una simile qualificazione può derivare della natura dell’illecito, e segnatamente dalla finalità repressiva perseguita dalla sanzione che l’illecito può comportare. Orbene, nel caso di specie, l’applicazione di punti di penalità per infrazioni stradali, così come le altre sanzioni che la commissione di queste ultime può comportare, perseguono, tra l’altro una siffatta finalità repressiva. Quanto al terzo criterio, la Corte osserva che solo le infrazioni stradali di una certa gravità comportano l’irrogazione di punti di penalità e che, di conseguenza, esse possono comportare sanzioni di una certa gravità. Peraltro, l’irrogazione di tali punti si aggiunge generalmente alla sanzione inflitta, e il cumulo di detti punti comporta conseguenze giuridiche che possono spingersi addirittura fino al divieto di guidare.
In secondo luogo, la Corte statuisce che il RGPD osta alla normativa lettone che obbliga la CSDD a rendere accessibili al pubblico i dati relativi ai punti di penalità inflitti ai conducenti di veicoli per infrazioni stradali, senza che la persona che richiede l’accesso sia tenuta a dimostrare un interesse specifico ad ottenerli.
In tale contesto, la Corte sottolinea che il miglioramento della sicurezza stradale, cui mira la normativa lettone, costituisce un obiettivo di interesse generale riconosciuto dall’Unione e che gli Stati membri sono quindi legittimati a qualificare la sicurezza stradale come «compito di interesse pubblico» (8). Tuttavia, la necessità del regime lettone di comunicazione dei dati personali relativi ai punti di penalità per garantire il conseguimento dell’obiettivo considerato non è dimostrata. In effetti, da una parte, il legislatore lettone dispone di diverse linee d’azione, che gli avrebbero consentito di conseguire tale obiettivo con altri mezzi meno pregiudizievoli per i diritti fondamentali degli interessati. Dall’altra, occorre tener conto della sensibilità dei dati relativi ai punti di penalità e della circostanza che la loro comunicazione al pubblico può costituire una grave ingerenza nei diritti al rispetto della vita privata e alla protezione dei dati personali poiché essa può suscitare la disapprovazione sociale e comportare la stigmatizzazione della persona interessata.
Inoltre, la Corte considera che, tenuto conto della sensibilità di tali dati e della gravità di detta ingerenza in questi due diritti fondamentali, tali diritti prevalgono sia sull’interesse del pubblico ad avere accesso a documenti ufficiali, come il registro nazionale dei veicoli e dei conducenti, che sul diritto alla libertà d’informazione.
In terzo luogo, per motivi identici, la Corte dichiara che il RGPD osta anche alla normativa lettone nella parte in cui essa autorizza la CSDD a comunicare i dati relativi ai punti di penalità inflitti ai conducenti di veicoli per infrazioni stradali a operatori economici affinché questi ultimi possano riutilizzarli e comunicarli al pubblico.
In quarto e ultimo luogo, la Corte precisa che il principio del primato del diritto dell’Unione osta a che il giudice del rinvio, investito di un ricorso avverso la normativa lettone, che la Corte ha qualificato incompatibile con il diritto dell’Unione, decida di mantenere gli effetti giuridici di tale normativa fino alla data di pronuncia della sua sentenza definitiva.