CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:501

SENTENZA DELLA CORTE (Prima Sezione)

22 giugno 2023 (*)

«Rinvio pregiudiziale – Trattamento dei dati personali – Regolamento (UE) 2016/679 – Articoli 4 e 15 – Portata del diritto di accesso alle informazioni di cui all’articolo 15 – Informazioni contenute negli archivi generati da un sistema di trattamento (log data) – Articolo 4 – Nozione di “dati personali” – Nozione di “destinatari” – Applicazione nel tempo»

Nella causa C‑579/21,

avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dall’Itä-Suomen hallinto-oikeus (Tribunale amministrativo della Finlandia orientale, Finlandia), con decisione del 21 settembre 2021, pervenuta in cancelleria il 22 settembre 2021, nel procedimento promosso da

J.M.

con l’intervento di:

Apulaistietosuojavaltuutettu,

Pankki S,

LA CORTE (Prima Sezione),

composta da A. Arabadjiev, presidente di sezione, P.G. Xuereb, T. von Danwitz, A. Kumin e I. Ziemele (relatrice), giudici,

avvocato generale: M. Campos Sánchez-Bordona,

cancelliere: C. Strömholm, amministratrice

vista la fase scritta del procedimento e in seguito all’udienza del 12 ottobre 2022,

considerate le osservazioni presentate:

– per J.M., da egli stesso;

– per l’Apulaistietosuojavaltuutettu, par A. Talus, tietosuojavaltuutettu;

– per la Pankki S, da T. Kalliokoski e J. Lång, asianajajat, nonché da E.-L. Hokkonen, oikeustieteen maisteri;

– per il governo finlandese, da A. Laine e H. Leppo, in qualità di agenti;

– per il governo ceco, da A. Edelmannová, M. Smolek e J. Vláčil, in qualità di agenti;

– per il governo austriaco, da A. Posch, in qualità di agente;

– per la Commissione europea, da A. Bouchagiar, H. Kranenborg e I. Söderlund, in qualità di agenti,

sentite le conclusioni dell’avvocato generale, presentate all’udienza del 15 dicembre 2022,

ha pronunciato la seguente

Sentenza

1 La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 15, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1 e rettifica in GU 2018, L 127, pagg. da 3 a 18; in prosieguo: il «RGPD»).

2 Tale domanda è stata presentata nell’ambito di un procedimento promosso da J.M. volto all’annullamento della decisione dell’Apulaistietosuojavaltuutettu (Sostituto Garante per la protezione dei dati personali, Finlandia), che ha rigettato la sua domanda di ingiungere alla Pankki S, istituto bancario con sede in Finlandia, di comunicargli talune informazioni riguardanti operazioni di consultazione dei suoi dati personali.

Contesto normativo

3 I considerando 4, 10, 11, 26, 39, 58, 60, 63 e 74 del RGPD così recitano:

«(4) Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta (…).

(…)

(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione [europea], il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. (…).

(11) Un’efficace protezione dei dati personali in tutta l’Unione presuppone il rafforzamento e la disciplina dettagliata dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati personali (…).

(...)

(26) (...) Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. (…).

(…)

(39) Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto. Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che le riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l’informazione degli interessati sull’identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che le riguardano. È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento. In particolare, le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e precisate al momento della raccolta di detti dati personali. (…)

(…)

(58) Il principio della trasparenza impone che le informazioni destinate al pubblico o all’interessato siano concise, facilmente accessibili e di facile comprensione e che sia usato un linguaggio semplice e chiaro, oltre che, se del caso, una visualizzazione. Tali informazioni potrebbero essere fornite in formato elettronico, ad esempio, se destinate al pubblico, attraverso un sito web. Ciò è particolarmente utile in situazioni in cui la molteplicità degli operatori coinvolti e la complessità tecnologica dell’operazione fanno sì che sia difficile per l’interessato comprendere se, da chi e per quali finalità sono raccolti dati personali che lo riguardano, quali la pubblicità online. Dato che i minori meritano una protezione specifica, quando il trattamento dati li riguarda, qualsiasi informazione e comunicazione dovrebbe utilizzare un linguaggio semplice e chiaro che un minore possa capire facilmente.

(…)

(60) I principi di trattamento corretto e trasparente implicano che l’interessato sia informato dell’esistenza del trattamento e delle sue finalità. Il titolare del trattamento dovrebbe fornire all’interessato eventuali ulteriori informazioni necessarie ad assicurare un trattamento corretto e trasparente, prendendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati. (…)

(…)

(63) Un interessato dovrebbe avere il diritto di accedere ai dati personali raccolti che l[o] riguardano e di esercitare tale diritto facilmente e a intervalli ragionevoli, per essere consapevole del trattamento e verificarne la liceità. (...) Ogni interessato dovrebbe pertanto avere il diritto di conoscere e ottenere comunicazioni in particolare in relazione alla finalità per cui i dati personali sono trattati, ove possibile al periodo in cui i dati personali sono trattati, ai destinatari dei dati personali, alla logica cui risponde qualsiasi trattamento automatizzato dei dati e, almeno quando è basato sulla profilazione, alle possibili conseguenze di tale trattamento. (...) Tale diritto non dovrebbe ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il software. (…)

(…)

(74) È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche».

4 L’articolo 1 del RGPD, intitolato «Oggetto e finalità», al paragrafo 2 così dispone:

«Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali».

5 L’articolo 4 di tale regolamento prevede quanto segue:

«Ai fini del presente regolamento s’intende per:

1) “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (...); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

2) “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

(...)

7) “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; (...)

(...)

9) “destinatario”: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. (...)

(...)

21) “autorità di controllo”: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51;

(...)».

6 L’articolo 5 di detto regolamento, intitolato «Principi applicabili al trattamento di dati personali», è così formulato:

«1. I dati personali sono:

a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);

(...)

f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”).

2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».

7 L’articolo 12 del RGPD, intitolato «Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato», così recita:

«1. Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (...). Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. (...)

(...)

5. (...) Se le richieste dell’interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può:

(...)

b) rifiutare di soddisfare la richiesta.

Incombe al titolare del trattamento l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta.

(...)».

8 L’articolo 15 di tale regolamento, intitolato «Diritto di accesso dell’interessato», così dispone:

«1. L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:

a) le finalità del trattamento;

b) le categorie di dati personali in questione;

c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;

d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;

f) il diritto di proporre reclamo a un’autorità di controllo;

g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;

h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

(...)

3. Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. (…)

4. Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui».

9 Gli articoli 16 e 17 di detto regolamento sanciscono, rispettivamente, il diritto dell’interessato di ottenere la rettifica dei dati personali inesatti (diritto di rettifica), nonché il diritto, in determinate circostanze, alla cancellazione di tali dati (diritto alla cancellazione o «diritto all’oblio»).

10 L’articolo 18 del medesimo regolamento, intitolato «Diritto di limitazione di trattamento», al paragrafo 1 così dispone:

«L’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:

a) l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;

b) il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;

c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;

d) l’interessato si è opposto al trattamento ai sensi dell’articolo 21, paragrafo 1, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato».

11 L’articolo 21 del RGPD, intitolato «Diritto di opposizione», al paragrafo 1 prevede quanto segue:

«L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria».

12 Conformemente all’articolo 24, paragrafo 1, di tale regolamento:

«Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. (...)».

13 L’articolo 29 di detto regolamento, intitolato «Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento», è così formulato:

«Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri».

14 L’articolo 30 del RGPD, intitolato «Registri delle attività di trattamento», prevede quanto segue:

«1. Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. (…)

(...)

4. Su richiesta, il titolare del trattamento (...) e, ove applicabile, il [suo] rappresentante mettono il registro a disposizione dell’autorità di controllo.

(...)».

15 L’articolo 58 di tale regolamento, intitolato «Poteri», al paragrafo 1 così dispone:

«Ogni autorità di controllo ha tutti i poteri di indagine seguenti:

a) ingiungere al titolare del trattamento e al responsabile del trattamento e, ove applicabile, al rappresentante del titolare del trattamento o del responsabile del trattamento, di fornirle ogni informazione di cui necessiti per l’esecuzione dei suoi compiti; (...)».

16 L’articolo 77 di detto regolamento, intitolato «Diritto di proporre reclamo all’autorità di controllo», è così formulato:

«1. Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione.

2. L’autorità di controllo a cui è stato proposto il reclamo informa il reclamante dello stato o dell’esito del reclamo, compresa la possibilità di un ricorso giurisdizionale ai sensi dell’articolo 78».

17 L’articolo 79 del RGPD, intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento», al paragrafo 1 così recita:

«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento».

18 L’articolo 82 di tale regolamento, intitolato «Diritto al risarcimento e responsabilità», al paragrafo 1 prevede quanto segue:

«Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».

19 Conformemente al suo articolo 99, paragrafo 2, il RGPD è entrato in vigore il 25 maggio 2018.

Procedimento principale e questioni pregiudiziali

20 Nel 2014, J.M., all’epoca dipendente e cliente della Pankki S, è venuto a conoscenza del fatto che i suoi dati di cliente erano stati consultati da membri del personale della banca, in più occasioni, nel periodo compreso tra il 1° novembre e il 31 dicembre 2013.

21 Nutrendo dubbi circa la liceità di tali consultazioni, J.M. che, nel frattempo, era stato licenziato dal suo impiego presso la Pankki S, ha chiesto a quest’ultima, il 29 maggio 2018, di comunicargli l’identità delle persone che avevano consultato i suoi dati di cliente, le date esatte delle consultazioni nonché le finalità del trattamento di detti dati.

22 Nella sua risposta del 30 agosto 2018, la Pankki S, in qualità di titolare del trattamento ai sensi dell’articolo 4, punto 7, del RGPD, ha rifiutato di comunicare l’identità dei dipendenti che avevano svolto le operazioni di consultazione, con la motivazione che tali informazioni costituivano dati personali di detti dipendenti.

23 Tuttavia, nella medesima risposta, la Pankki S ha fornito precisazioni in merito alle operazioni di consultazione svolte, conformemente alle sue istruzioni, dal servizio di audit interno di quest’ultima. Essa ha in tal modo chiarito che un cliente della banca di cui J.M. era il consulente alla clientela risultava creditore di una persona che aveva lo stesso cognome di J.M., cosicché essa aveva voluto chiarire se il ricorrente nel procedimento principale e detto debitore fossero la stessa persona e se vi fosse stato un eventuale rapporto di conflitto di interessi inappropriato. La Pankki S ha aggiunto che per chiarire tale questione era stato necessario procedere al trattamento dei dati di J.M. e che tutti i dipendenti della banca che avevano svolto il trattamento di tali dati avevano rilasciato al servizio di audit interno una dichiarazione sui motivi di detto trattamento di dati. Inoltre, la banca ha dichiarato che tali consultazioni avevano consentito di fugare qualsiasi sospetto di conflitto di interessi per quanto riguarda J.M.

24 J.M. ha adito il Tietosuojavaltuutetun toimisto (ufficio del Garante per la protezione dei dati personali, Finlandia), autorità di controllo ai sensi dell’articolo 4, punto 21, del RGPD, affinché fosse ingiunto alla Pankki S di comunicargli le informazioni richieste.

25 Con decisione del 4 agosto 2020, il Sostituto Garante per la protezione dei dati personali ha respinto la domanda di J.M. Esso ha chiarito che tale domanda era volta a consentirgli di accedere agli archivi dei dipendenti che avevano svolto il trattamento dei suoi dati, mentre, in forza della sua prassi decisionale, siffatti archivi costituiscono dati personali che riguardano non l’interessato, bensì i dipendenti che hanno effettuato il trattamento dei dati di quest’ultimo.

26 J.M. ha proposto ricorso avverso tale decisione dinanzi al giudice del rinvio.

27 Tale giudice ricorda che l’articolo 15 del RGPD prevede il diritto dell’interessato di ottenere dal titolare del trattamento l’accesso ai dati trattati che lo riguardano nonché le informazioni in merito, tra l’altro, alle finalità del trattamento e ai destinatari dei dati. Esso si chiede se la comunicazione di archivi generati in occasione di operazioni di trattamento, che contengono siffatte informazioni, in particolare l’identità dei dipendenti del titolare del trattamento, rientri nell’ambito di applicazione dell’articolo 15 del RGPD, potendo tali archivi servire all’interessato per valutare la liceità del trattamento di cui sono stati oggetto i suoi dati.

28 In tali circostanze, l’Itä-Suomen hallinto-oikeus (Tribunale amministrativo della Finlandia orientale, Finlandia) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1) Se il diritto di accesso dell’interessato ai sensi dell’articolo 15, paragrafo 1, del [RGPD], nel combinato disposto con la [nozione di] “dati personali” di cui all’articolo 4, punto 1, di tale regolamento, debba essere interpretato nel senso che le informazioni raccolte dal titolare del trattamento da cui emerge chi, quando e per quali finalità abbia trattato i dati personali dell’interessato non costituiscano informazioni alle quali l’interessato ha un diritto di accesso, in particolare perché si tratta di dati riguardanti dipendenti del titolare del trattamento.

2) In caso di risposta affermativa alla prima questione, vale a dire nel caso in cui l’interessato, sulla base dell’articolo 15, paragrafo 1, del [RGPD], non goda di un diritto di accesso alle informazioni menzionate in tale questione, in quanto esse non costituiscono “dati personali” ai sensi dell’articolo 4, punto 1, del [RGPD], occorre ancora prendere in esame le informazioni alle quali l’interessato ha diritto di accedere ai sensi dell’articolo 15, paragrafo 1 [lettere da a) a h)].

a) Quale interpretazione si debba dare alle finalità del trattamento di cui all’articolo 15, paragrafo 1, lettera a), con riferimento alla portata del diritto di accesso dell’interessato, ossia se le finalità del trattamento fondino un diritto di accesso ai dati sulle registrazioni degli utenti raccolte dal titolare del trattamento, in particolare, per esempio, le informazioni concernenti dati personali del soggetto che ha eseguito il trattamento, nonché il periodo e la finalità del trattamento dei dati personali.

b) Se in tale contesto i soggetti che hanno eseguito il trattamento dei dati di J.M. in qualità di cliente possano essere considerati, in base a determinati criteri, destinatari dei dati personali ai sensi dell’articolo 15, paragrafo 1, lettera c), del [RGPD], sui quali l’interessato avrebbe diritto di ottenere informazioni.

3) Se rilevi ai fini del procedimento il fatto che si tratta di una banca che esercita un’attività regolamentata o che J.M. fosse nel contempo dipendente e cliente della stessa.

4) Se rilevi ai fini della valutazione delle questioni sopra riportate il fatto che il trattamento dei dati di J.M. sia avvenuto prima dell’entrata in vigore del [RGPD]».

Sulle questioni pregiudiziali

Sulla quarta questione

29 Con la sua quarta questione, che occorre esaminare in primis, il giudice del rinvio chiede, in sostanza, se l’articolo 15 del RGPD, letto alla luce dell’articolo 99, paragrafo 2, di tale regolamento, sia applicabile a una domanda di accesso alle informazioni menzionate alla prima di dette disposizioni allorché i trattamenti di cui a tale domanda sono stati effettuati prima della data in cui è divenuto applicabile detto regolamento, ma la domanda è stata presentata successivamente a tale data.

30 Al fine di rispondere a tale questione, occorre rilevare che, in forza dell’articolo 99, paragrafo 2, del RGPD, quest’ultimo è applicabile dal 25 maggio 2018.

31 Orbene, nel caso di specie, dalla decisione di rinvio risulta che i trattamenti di dati personali oggetto del procedimento principale sono stati effettuati tra il 1° novembre 2013 e il 31 dicembre 2013, vale a dire prima della data di entrata in vigore del RGPD. Tuttavia, da tale decisione risulta altresì che J.M. ha presentato la sua domanda di informazioni alla Pankki S successivamente a detta data, ossia il 29 maggio 2018.

32 A tal riguardo, si deve ricordare che le norme procedurali si considerano generalmente applicabili alla data in cui esse entrano in vigore, a differenza delle norme sostanziali, che, secondo la comune interpretazione, riguardano situazioni sorte e definitivamente acquisite anteriormente alla loro entrata in vigore solo se dalla loro formulazione, dalla loro finalità o dal loro impianto sistematico risulti chiaramente che va loro attribuito tale effetto (sentenza del 15 giugno 2021, Facebook Ireland e a., C‑645/19, EU:C:2021:483, punto 100 e giurisprudenza citata).

33 Nel caso di specie, dalla decisione di rinvio risulta che la domanda di J.M. volta a ricevere le informazioni controverse nel procedimento principale si ricollega all’articolo 15, paragrafo 1, del RGPD, il quale prevede il diritto dell’interessato di ottenere l’accesso ai dati personali che lo riguardano che sono oggetto di trattamento, nonché alle informazioni menzionate da tale disposizione.

34 È giocoforza constatare che detta disposizione non riguarda le condizioni di liceità del trattamento di cui sono oggetto i dati personali dell’interessato. Infatti, l’articolo 15, paragrafo 1, del RGPD si limita a precisare la portata del diritto di accesso di tale persona ai dati e alle informazioni menzionate a detta disposizione.

35 Ne consegue, come rilevato dall’avvocato generale al paragrafo 33 delle sue conclusioni, che l’articolo 15, paragrafo 1, del RGPD conferisce agli interessati un diritto di natura procedurale consistente nell’ottenere informazioni sul trattamento dei loro dati personali. In quanto norma procedurale, tale disposizione si applica alle domande di accesso presentate a partire dal momento in cui è divenuto applicabile tale regolamento, come la domanda di J.M.

36 In tali circostanze, occorre rispondere alla quarta questione dichiarando che l’articolo 15 del RGPD, letto alla luce dell’articolo 99, paragrafo 2, di tale regolamento, dev’essere interpretato nel senso che esso si applica a una domanda di accesso alle informazioni menzionate da detta disposizione allorché i trattamenti di cui a tale domanda sono stati svolti prima della data in cui è divenuto applicabile detto regolamento, ma la domanda è stata presentata successivamente a tale data.

Sulle questioni prima e seconda

37 Con le sue questioni prima e seconda, che occorre esaminare congiuntamente, il giudice del rinvio chiede, in sostanza, se l’articolo 15, paragrafo 1, del RGPD debba essere interpretato nel senso che le informazioni relative a operazioni di consultazione dei dati personali di una persona, riguardanti le date e le finalità di tali operazioni, nonché l’identità delle persone fisiche che hanno effettuato tali operazioni, costituiscono informazioni che detta persona ha il diritto di ottenere dal titolare del trattamento in forza di tale disposizione.

38 In via preliminare, occorre ricordare che, secondo una costante giurisprudenza, l’interpretazione di una disposizione del diritto dell’Unione richiede di tener conto non soltanto della sua formulazione, ma anche del contesto in cui essa si inserisce nonché degli obiettivi e della finalità che persegue l’atto di cui essa fa parte [sentenza del 12 gennaio 2023, Österreichische Post (Informazioni relative ai destinatari di dati personali), C‑154/21, EU:C:2023:3, punto 29].

39 Per quanto riguarda, anzitutto, la formulazione dell’articolo 15, paragrafo 1, del RGPD, ai sensi di tale disposizione l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l’accesso a detti dati personali nonché alle informazioni relative, in particolare, alle finalità del trattamento e ai destinatari o alle categorie di destinatari a cui tali dati personali sono stati o saranno comunicati.

40 In proposito, si deve sottolineare che le nozioni di cui all’articolo 15, paragrafo 1, del RGPD sono definite all’articolo 4 di tale regolamento.

41 In tal senso, in primo luogo, l’articolo 4, punto 1, del RGPD dispone che s’intende per dato personale «qualsiasi informazione riguardante una persona fisica identificata o identificabile» e precisa che «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale».

42 L’uso della formulazione «qualsiasi informazione» nella definizione della nozione di «dato personale», di cui a tale disposizione, rispecchia l’obiettivo del legislatore dell’Unione di attribuire un’accezione estesa a tale nozione, che comprende potenzialmente ogni tipo di informazioni, tanto oggettive quanto soggettive, sotto forma di pareri o di valutazioni, a condizione che esse «riguardino» la persona interessata (sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 23).

43 È stato dichiarato, in proposito, che un’informazione riguarda una persona fisica identificata o identificabile qualora, in ragione del suo contenuto, della sua finalità o del suo effetto, essa sia connessa a una persona identificabile (sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 24).

44 Quanto al carattere «identificabile» di una persona, il considerando 26 del RGPD precisa che occorre prendere in considerazione «tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente».

45 Ne consegue che l’ampia definizione della nozione di «dati personali» non comprende soltanto i dati raccolti e conservati dal titolare del trattamento, ma include altresì tutte le informazioni risultanti da un trattamento di dati personali che riguardano una persona identificata o identificabile (v., in tal senso, sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 26).

46 In secondo luogo, per quanto riguarda la nozione di «trattamento», quale definita all’articolo 4, punto 2, del RGPD, si deve rilevare che, mediante la formulazione «qualsiasi operazione», il legislatore dell’Unione ha inteso dare a tale nozione una portata ampia, ricorrendo ad un elenco di operazioni non esaustivo applicate a dati personali o insiemi di dati personali, che includono, tra l’altro, la raccolta, la registrazione, la conservazione o, ancora, la consultazione (v., in tal senso, sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 27).

47 In terzo luogo, l’articolo 4, punto 9, del RGPD precisa che per «destinatario» s’intende «la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi».

48 A tal riguardo, la Corte ha dichiarato che l’interessato ha il diritto di ottenere dal titolare del trattamento informazioni sui destinatari concreti ai quali i dati personali che lo riguardano sono stati o saranno comunicati [sentenza del 12 gennaio 2023, Österreichische Post (Informazioni relative ai destinatari di dati personali), C‑154/21, EU:C:2023:3, punto 46].

49 Pertanto, dall’analisi testuale dell’articolo 15, paragrafo 1, del RGPD e dalle nozioni in esso contenute risulta che il diritto di accesso che tale disposizione riconosce all’interessato è caratterizzato dall’ampia portata delle informazioni che il titolare del trattamento dei dati deve fornire a detta persona.

50 Per quanto concerne, poi, il contesto in cui si inserisce l’articolo 15, paragrafo 1, del RGPD, è necessario ricordare, anzitutto, che in base al considerando 63 di tale regolamento l’interessato dovrebbe avere il diritto di conoscere e ottenere comunicazioni in particolare in relazione alla finalità per cui i dati personali sono trattati, ove possibile al periodo in cui i dati personali sono trattati e ai destinatari dei dati personali.

51 Inoltre, il considerando 60 del RGPD afferma che i principi di trattamento corretto e trasparente implicano che l’interessato sia informato dell’esistenza del trattamento e delle sue finalità, sottolineando che il titolare del trattamento dovrebbe fornire eventuali ulteriori informazioni necessarie ad assicurare un trattamento corretto e trasparente, prendendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati. Peraltro, conformemente al principio di trasparenza, menzionato dal giudice del rinvio, cui fa riferimento il considerando 58 del RGPD e che sancisce espressamente l’articolo 12, paragrafo 1, di detto regolamento, le informazioni destinate all’interessato devono essere concise, facilmente accessibili e di facile comprensione, e formulate in un linguaggio semplice e chiaro.

52 A tal riguardo, l’articolo 12, paragrafo 1, del RGPD precisa che le informazioni devono essere fornite dal titolare del trattamento per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici, a meno che l’interessato chieda che siano fornite oralmente. Tale disposizione, che è l’espressione del principio di trasparenza, ha lo scopo di garantire che l’interessato sia messo in grado di comprendere pienamente le informazioni che gli vengono inviate (sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 38 e giurisprudenza citata).

53 Dall’analisi contestuale che precede risulta che l’articolo 15, paragrafo 1, del RGPD costituisce una delle disposizioni volte a garantire la trasparenza delle modalità di trattamento dei dati personali nei confronti dell’interessato.

54 Infine, tale interpretazione della portata del diritto di accesso previsto all’articolo 15, paragrafo 1, del RGPD è corroborata dagli obiettivi perseguiti da detto regolamento.

55 Infatti, in primo luogo, esso ha lo scopo, come indicato dai suoi considerando 10 e 11, di assicurare un livello coerente ed elevato di protezione delle persone fisiche all’interno dell’Unione nonché di rafforzare e di disciplinare in modo dettagliato i diritti degli interessati.

56 Inoltre, come risulta dal considerando 63 del RGPD, il diritto di una persona di accedere ai propri dati personali e alle altre informazioni menzionate all’articolo 15, paragrafo 1, di detto regolamento ha lo scopo, anzitutto, di consentire a tale persona di essere consapevole del trattamento e di verificarne la liceità. Ne consegue, secondo tale considerando e come indicato al punto 50 della presente sentenza, che ogni interessato dovrebbe avere il diritto di conoscere e ottenere comunicazioni in particolare in relazione alla finalità per cui i dati personali sono trattati, ove possibile al periodo in cui i dati personali sono trattati, ai destinatari dei dati personali nonché alla logica cui risponde il trattamento dei dati.

57 A tal riguardo, occorre ricordare, in secondo luogo, che la Corte ha già dichiarato che il diritto di accesso previsto all’articolo 15 del RGPD deve consentire all’interessato di verificare che i dati personali che lo riguardano siano corretti e trattati in modo lecito (sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 34).

58 In particolare, tale diritto di accesso è necessario affinché l’interessato possa esercitare, se del caso, il suo diritto di rettifica, il suo diritto alla cancellazione («diritto all’oblio») e il suo diritto di limitazione di trattamento, diritti questi che gli sono riconosciuti, rispettivamente, dagli articoli da 16 a 18 del RGPD, il suo diritto di opposizione al trattamento dei suoi dati personali, previsto all’articolo 21 del RGPD, nonché il suo diritto di agire in giudizio nel caso in cui subisca un danno, previsto agli articoli 79 e 82 del RGPD (sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 35 e giurisprudenza citata).

59 Pertanto, l’articolo 15, paragrafo 1, del RGPD costituisce una delle disposizioni volte a garantire che le modalità attraverso le quali i dati personali sono trattati siano trasparenti per l’interessato [sentenza del 12 gennaio 2023, Österreichische Post (Informazioni relative ai destinatari di dati personali), C‑154/21, EU:C:2023:3, punto 42], non essendo quest’ultimo in caso contrario in grado di verificare che i dati che lo riguardano siano trattati in modo lecito né di esercitare le prerogative previste in particolare agli articoli da 16 a 18, 21, 79 e 82 di detto regolamento.

60 Nel caso di specie, dalla decisione di rinvio risulta che J.M. ha chiesto alla Pankki S di fornirgli informazioni relative alle operazioni di consultazione effettuate sui suoi dati personali tra il 1° novembre 2013 e il 31 dicembre 2013, informazioni che riguardavano le date di tali consultazioni, le loro finalità e l’identità delle persone che avevano svolto dette consultazioni. Il giudice del rinvio dichiara che la comunicazione degli archivi generati in occasione di dette operazioni consentirebbe di rispondere alla domanda di J.M.

61 Nel caso di specie, è pacifico che le operazioni di consultazione aventi ad oggetto i dati personali del ricorrente nel procedimento principale costituiscono un «trattamento» ai sensi dell’articolo 4, punto 2, del RGPD, con la conseguenza che esse conferiscono a quest’ultimo, in forza dell’articolo 15, paragrafo 1, di tale regolamento, non solo un diritto di accesso a tali dati personali, ma anche un diritto a che gli siano comunicate le informazioni relative a dette operazioni, quali menzionate da quest’ultima disposizione.

62 Per quanto riguarda le informazioni come richieste da J.M., la comunicazione, anzitutto, delle date delle operazioni di consultazione è tale da consentire all’interessato di ottenere la conferma che i suoi dati personali sono stati effettivamente trattati in un dato momento. Inoltre, poiché le condizioni di liceità previste agli articoli 5 e 6 del RGPD devono essere soddisfatte al momento del trattamento stesso, la data di quest’ultimo costituisce un elemento che consente di verificarne la liceità. Occorre, poi, rilevare che l’informazione relativa alle finalità dei trattamenti è espressamente prevista all’articolo 15, paragrafo 1, lettera a), di tale regolamento. Infine, l’articolo 15, paragrafo 1, lettera c), di detto regolamento dispone che il titolare del trattamento informa l’interessato dei destinatari a cui i suoi dati sono stati comunicati.

63 Per quanto concerne, più in particolare, la comunicazione dell’insieme di tali informazioni mediante la trasmissione degli archivi relativi alle operazioni di trattamento controverse nel procedimento principale, si deve rilevare che l’articolo 15, paragrafo 3, prima frase, del RGPD dispone che il titolare del trattamento «fornisce una copia dei dati personali oggetto di trattamento».

64 A tal riguardo, la Corte ha già dichiarato che la nozione di «copia» così utilizzata designa la riproduzione o la trascrizione fedele di un originale, cosicché una descrizione puramente generale dei dati oggetto di trattamento o un rinvio a categorie di dati personali non corrisponderebbe a detta definizione. Inoltre, dalla formulazione dell’articolo 15, paragrafo 3, prima frase, di tale regolamento risulta che l’obbligo di comunicazione si ricollega ai dati personali oggetto del trattamento di cui trattasi (v., in tal senso, sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 21).

65 La copia che il titolare del trattamento è tenuto a fornire deve contenere tutti i dati personali oggetto di trattamento, deve presentare tutte le caratteristiche che consentano all’interessato di esercitare effettivamente i suoi diritti a norma di detto regolamento e, pertanto, deve riprodurre integralmente e fedelmente tali dati (v., in tal senso, sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punti 32 e 39).

66 Infatti, per garantire che le informazioni così fornite siano facilmente comprensibili, come richiede l’articolo 12, paragrafo 1, del RGPD, in combinato disposto con il considerando 58 di tale regolamento, la riproduzione di estratti di documenti o addirittura di documenti interi o, ancora, di estratti di banche dati contenenti, tra l’altro, i dati personali oggetto di trattamento può rivelarsi indispensabile nel caso in cui la contestualizzazione dei dati trattati sia necessaria per garantirne l’intelligibilità. In particolare, quando si generano dati personali a partire da altri dati o quando dati del genere derivano da campi a testo libero, vale a dire, da una mancanza di indicazioni che rivelino un’informazione sull’interessato, il contesto in cui tali dati sono oggetto di trattamento è un elemento indispensabile per consentire all’interessato di disporre di un accesso trasparente e di una presentazione intelligibile di tali dati (sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punti 41 e 42).

67 Nel caso di specie, come rilevato dall’avvocato generale ai paragrafi da 88 a 90 delle sue conclusioni, gli archivi, che contengono le informazioni richieste da J.M., corrispondono a registri delle attività, ai sensi dell’articolo 30 del RGPD. Si deve ritenere che essi rientrino nelle misure, menzionate al considerando 74 di tale regolamento, messe in atto dal titolare del trattamento per dimostrare la conformità delle attività di trattamento a detto regolamento. L’articolo 30, paragrafo 4, del medesimo regolamento specifica in particolare che, su richiesta, essi devono essere messi a disposizione dell’autorità di controllo.

68 Nella misura in cui tali registri delle attività non contengono informazioni relative a una persona fisica identificata o identificabile ai sensi della giurisprudenza richiamata ai punti 42 e 43 della presente sentenza, essi si limitano a consentire al titolare del trattamento di adempiere ai propri obblighi nei confronti dell’autorità di controllo che ne richiede la trasmissione.

69 Per quanto riguarda più in particolare gli archivi del titolare del trattamento, la trasmissione di una copia delle informazioni contenute in tali archivi può risultare necessaria per adempiere all’obbligo di fornire all’interessato l’accesso all’insieme delle informazioni menzionate all’articolo 15, paragrafo 1, del RGPD e per assicurare un trattamento corretto e trasparente, consentendogli così di esercitare in modo pieno i diritti riconosciutigli da detto regolamento.

70 Infatti, in primo luogo, tali archivi rivelano l’esistenza di un trattamento di dati, informazione cui l’interessato deve avere accesso ai sensi dell’articolo 15, paragrafo 1, del RGPD. Inoltre, essi forniscono informazioni circa la frequenza e l’intensità delle operazioni di consultazione, consentendo in tal modo all’interessato di verificare che il trattamento svolto sia effettivamente motivato dalle finalità fatte valere dal titolare del trattamento.

71 In secondo luogo, tali archivi contengono le informazioni relative all’identità delle persone che hanno svolto le operazioni di consultazione.

72 Nel caso di specie, dalla decisione di rinvio risulta che le persone che hanno effettuato le operazioni di consultazione controverse nel procedimento principale sono dipendenti della Pankki S che hanno agito sotto la sua autorità e conformemente alle sue istruzioni.

73 Se dall’articolo 15, paragrafo 1, lettera c), del RGPD risulta che l’interessato ha il diritto di ottenere dal titolare del trattamento le informazioni relative ai destinatari o alle categorie di destinatari a cui i dati personali sono stati o saranno comunicati, i dipendenti del titolare del trattamento non possono essere considerati come «destinatari», ai sensi dell’articolo 15, paragrafo 1, lettera c), del RGPD, come ricordato ai punti 47 e 48 della presente sentenza, quando trattano dati personali sotto l’autorità di detto titolare e conformemente alle sue istruzioni, come rilevato dall’avvocato generale al paragrafo 63 delle sue conclusioni.

74 A tal riguardo, è necessario porre in evidenza che, conformemente all’articolo 29 del RGPD, chiunque agisca sotto l’autorità del titolare del trattamento, che abbia accesso a dati personali, non può trattare tali dati se non è istruito in tal senso da detto titolare.

75 Ciò premesso, le informazioni contenute negli archivi relative alle persone che hanno consultato i dati personali dell’interessato potrebbero costituire informazioni rientranti tra quelle menzionate all’articolo 4, punto 1, del RGPD, come quelle richiamate al punto 41 della presente sentenza, idonee a consentirgli di verificare la liceità del trattamento di cui sono stati oggetto i suoi dati e, in particolare, di assicurarsi che le operazioni di trattamento siano state effettivamente svolte sotto l’autorità del titolare del trattamento e conformemente alle sue istruzioni.

76 Tuttavia, in primo luogo, dalla decisione di rinvio risulta che le informazioni contenute in archivi come quelli di cui trattasi nel procedimento principale consentono di identificare i dipendenti che hanno svolto le operazioni di trattamento e contengono dati personali di tali dipendenti, ai sensi dell’articolo 4, punto 1, del RGPD.

77 A tal riguardo, occorre ricordare che, per quanto riguarda il diritto di accesso previsto all’articolo 15 del RGPD, il considerando 63 di tale regolamento precisa che «[t]ale diritto non dovrebbe ledere i diritti e le libertà altrui».

78 Infatti, conformemente al considerando 4 del RGPD, il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, poiché dev’essere considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali (v., in tal senso, sentenza del 16 luglio 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559, punto 172).

79 Orbene, anche supponendo che la comunicazione delle informazioni relative all’identità dei dipendenti del titolare del trattamento all’interessato dal trattamento sia necessaria a quest’ultimo per verificare la liceità del trattamento dei suoi dati personali, essa è tuttavia tale da ledere i diritti e le libertà di tali dipendenti.

80 In tali circostanze, in caso di conflitto tra, da un lato, l’esercizio di un diritto di accesso che assicura l’effetto utile dei diritti riconosciuti dal RGPD all’interessato e, dall’altro, i diritti o le libertà altrui, occorre effettuare un bilanciamento tra i diritti e le libertà in questione. Ove possibile, occorre scegliere modalità di comunicazione che non ledano i diritti o le libertà altrui, tenendo conto del fatto che tali considerazioni non devono «condurre a un diniego a fornire all’interessato tutte le informazioni», come risulta dal considerando 63 del RGPD (v., in tal senso, la sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 44).

81 Tuttavia, in secondo luogo, dalla decisione di rinvio risulta che J.M. non chiede che gli siano comunicate le informazioni relative all’identità dei dipendenti della Pankki S che hanno svolto le operazioni di consultazione dei suoi dati personali, con la motivazione che essi non avrebbero effettivamente agito sotto l’autorità e conformemente alle istruzioni del titolare del trattamento, ma sembra nutrire dubbi circa la veridicità delle informazioni relative alla finalità di tali consultazioni che la Pankki S gli ha comunicato.

82 In tali circostanze, qualora l’interessato dovesse ritenere che le informazioni comunicate dal titolare del trattamento siano insufficienti per consentirgli di dissipare i dubbi che egli nutre in merito alla liceità del trattamento di cui sono stati oggetto i suoi dati personali, egli dispone, in base all’articolo 77, paragrafo 1, del RGPD, del diritto di presentare un reclamo all’autorità di controllo, la quale ha il potere, in forza dell’articolo 58, paragrafo 1, lettera a), di tale regolamento, di chiedere al titolare del trattamento di fornirle ogni informazione di cui necessiti per esaminare il reclamo dell’interessato.

83 Dalle considerazioni che precedono risulta che l’articolo 15, paragrafo 1, del RGPD dev’essere interpretato nel senso che le informazioni relative a operazioni di consultazione dei dati personali di una persona, riguardanti le date e le finalità di tali operazioni, costituiscono informazioni che detta persona ha il diritto di ottenere dal titolare del trattamento in forza di tale disposizione. Per contro, la suddetta disposizione non riconosce un siffatto diritto con riferimento alle informazioni relative all’identità dei dipendenti di detto titolare che hanno svolto tali operazioni sotto la sua autorità e conformemente alle sue istruzioni, a meno che tali informazioni siano indispensabili per consentire all’interessato di esercitare effettivamente i diritti che gli sono conferiti da tale regolamento e a condizione che si tenga conto dei diritti e delle libertà di tali dipendenti.

Sulla terza questione

84 Con la sua terza questione, il giudice del rinvio chiede, in sostanza, se la circostanza, da un lato, che il titolare del trattamento eserciti un’attività bancaria nell’ambito di un’attività regolamentata e, dall’altro, che la persona i cui dati personali sono stati trattati nella sua qualità di cliente del titolare del trattamento sia stata anche dipendente di tale titolare, rilevi ai fini della definizione della portata del diritto di accesso riconosciutale dall’articolo 15, paragrafo 1, del RGPD.

85 Anzitutto, è necessario porre in evidenza che, per quanto riguarda l’ambito di applicazione del diritto di accesso previsto all’articolo 15, paragrafo 1, del RGPD, nessuna disposizione di tale regolamento opera alcuna distinzione in funzione della natura delle attività del titolare del trattamento o della qualità della persona i cui dati personali sono oggetto di trattamento.

86 Per quanto concerne, da un lato, il carattere regolamentato dell’attività della Pankki S, è vero che l’articolo 23 del RGPD consente agli Stati membri di limitare, mediante misure legislative, la portata degli obblighi e dei diritti previsti in particolare all’articolo 15 di tale regolamento.

87 Tuttavia, dalla decisione di rinvio non risulta che l’attività della Pankki S sia oggetto di una siffatta normativa.

88 Per quanto concerne, dall’altro lato, il fatto che J.M. sia stato nel contempo cliente e dipendente della Pankki S, occorre rilevare che, tenuto conto non solo degli obiettivi del RGPD, ma anche della portata del diritto di accesso di cui gode l’interessato, come ricordato ai punti 49 e da 55 a 59 della presente sentenza, il contesto in cui tale persona chiede l’accesso alle informazioni menzionate all’articolo 15, paragrafo 1, del RGPD non può avere alcuna influenza sulla portata di detto diritto.

89 Di conseguenza, l’articolo 15, paragrafo 1, del RGPD dev’essere interpretato nel senso che la circostanza che il titolare del trattamento eserciti un’attività bancaria nell’ambito di un’attività regolamentata e che la persona i cui dati personali sono stati trattati nella sua qualità di cliente del titolare del trattamento sia stata anche dipendente di tale titolare non incide, in linea di principio, sulla portata del diritto di cui beneficia tale persona in forza di detta disposizione.

Sulle spese

90 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Prima Sezione) dichiara:

1) L’articolo 15 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), letto alla luce dell’articolo 99, paragrafo 2, di tale regolamento,

dev’essere interpretato nel senso che:

si applica a una domanda di accesso alle informazioni menzionate da detta disposizione allorché i trattamenti di cui a tale domanda sono stati svolti prima della data in cui è divenuto applicabile detto regolamento, ma la domanda è stata presentata successivamente a tale data.

2) L’articolo 15, paragrafo 1, del regolamento 2016/679

dev’essere interpretato nel senso che:

le informazioni relative a operazioni di consultazione dei dati personali di una persona, riguardanti le date e le finalità di tali operazioni, costituiscono informazioni che detta persona ha il diritto di ottenere dal titolare del trattamento in forza di tale disposizione. Per contro, la suddetta disposizione non riconosce un siffatto diritto con riferimento alle informazioni relative all’identità dei dipendenti di detto titolare che hanno svolto tali operazioni sotto la sua autorità e conformemente alle sue istruzioni, a meno che tali informazioni siano indispensabili per consentire all’interessato di esercitare effettivamente i diritti che gli sono conferiti da tale regolamento e a condizione che si tenga conto dei diritti e delle libertà di tali dipendenti.

3) L’articolo 15, paragrafo 1, del regolamento 2016/679

dev’essere interpretato nel senso che:

la circostanza che il titolare del trattamento eserciti un’attività bancaria nell’ambito di un’attività regolamentata e che la persona i cui dati personali sono stati trattati nella sua qualità di cliente del titolare del trattamento sia stata anche dipendente di tale titolare non incide, in linea di principio, sulla portata del diritto di cui beneficia tale persona in forza di detta disposizione.

Firme

* Lingua processuale: il finlandese.