CURIA - Documents

Edizione provvisoria

SENTENZA DELLA CORTE (Sesta Sezione)

7 marzo 2024 (*)

«Rinvio pregiudiziale – Protezione dei dati personali – Regolamento (UE) 2016/679 – Articoli 2, 4, 6, 10 e 86 – Dati in possesso di un tribunale relativi alle condanne penali di una persona fisica – Comunicazione orale di simili dati a una società commerciale a motivo di un concorso da essa organizzato – Nozione di “trattamento di dati personali” – Normativa nazionale che disciplina l’accesso a tali dati – Conciliazione tra il diritto del pubblico all’accesso ai documenti ufficiali e la protezione dei dati personali»

Nella causa C‑740/22,

avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dall’Itä-Suomen hovioikeus (Corte d’appello della Finlandia orientale, Finlandia), con decisione del 30 novembre 2022, pervenuta in cancelleria il 2 dicembre 2022, nel procedimento

Endemol Shine Finland Oy,

LA CORTE (Sesta Sezione),

composta da T. von Danwitz (relatore), presidente di sezione, P.G. Xuereb e I. Ziemele, giudici,

avvocato generale: T. Ćapeta

cancelliere: A. Calot Escobar

vista la fase scritta del procedimento,

considerate le osservazioni presentate:

– per il governo finlandese, da A. Laine e M. Pere, in qualità di agenti;

– per il governo portoghese, da P. Barros da Costa, M.J. Ramos e C. Vieira Guerra, in qualità di agenti;

– per la Commissione europea, da A. Bouchagiar, H. Kranenborg e I. Söderlund, in qualità di agenti,

vista la decisione, adottata dopo aver sentito l’avvocato generale, di giudicare la causa senza conclusioni,

ha pronunciato la seguente

Sentenza

1 La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 2, paragrafo 1, dell’articolo 4, punto 2, e dell’articolo 86 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).

2 Tale domanda è stata presentata nell’ambito di un procedimento vertente sul rifiuto di un organo giurisdizionale nazionale di comunicare alla Endemol Shine Finland Oy dati relativi a condanne penali concernenti un terzo.

Contesto normativo

Diritto dell’Unione

3 I considerando 4, 10, 11, 15, 19 e 154 del RGPD sono così formulati:

«(4) Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla [Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»)], sanciti dai trattati, in particolare il rispetto della vita privata e familiare, (...) la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, (...).

(...)

(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione [europea], il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. Per quanto riguarda il trattamento dei dati personali per l’adempimento di un obbligo legale, per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l’applicazione delle norme del presente regolamento. In combinato disposto con la legislazione generale e orizzontale in materia di protezione dei dati che attua la direttiva 95/46/CE [del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 1)] gli Stati membri dispongono di varie leggi settoriali in settori che richiedono disposizioni più specifiche. Il presente regolamento prevede anche un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali (“dati sensibili”). In tal senso, il presente regolamento non esclude che il diritto degli Stati membri stabilisca le condizioni per specifiche situazioni di trattamento, anche determinando con maggiore precisione le condizioni alle quali il trattamento di dati personali è lecito.

(11) Un’efficace protezione dei dati personali in tutta l’Unione presuppone il rafforzamento e la disciplina dettagliata dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati personali, nonché poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali e sanzioni equivalenti per le violazioni negli Stati membri.

(...)

(15) Al fine di evitare l’insorgere di gravi rischi di elusione, la protezione delle persone fisiche dovrebbe essere neutrale sotto il profilo tecnologico e non dovrebbe dipendere dalle tecniche impiegate. La protezione delle persone fisiche dovrebbe applicarsi sia al trattamento automatizzato che al trattamento manuale dei dati personali, se i dati personali sono contenuti o destinati a essere contenuti in un archivio. Non dovrebbero rientrare nell’ambito di applicazione del presente regolamento i fascicoli o le serie di fascicoli non strutturati secondo criteri specifici, così come le rispettive copertine.

(...)

(19) La protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, e la libera circolazione di tali dati sono oggetto di uno specifico atto dell’Unione. Il presente regolamento non dovrebbe pertanto applicarsi ai trattamenti effettuati per tali finalità. I dati personali trattati dalle autorità pubbliche in forza del presente regolamento, quando utilizzati per tali finalità, dovrebbero invece essere disciplinati da un più specifico atto dell’Unione, segnatamente la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio [, del 27 aprile 2016, concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU 2016, L 119, pag. 89)]. Gli Stati membri possono conferire alle autorità competenti ai sensi della direttiva (UE) 2016/680 altri compiti che non siano necessariamente svolti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, affinché il trattamento di dati personali per tali altre finalità, nella misura in cui ricada nell’ambito di applicazione del diritto dell’Unione, rientri nell’ambito di applicazione del presente regolamento.

Con riguardo al trattamento dei dati personali da parte di tali autorità competenti per finalità rientranti nell’ambito di applicazione del presente regolamento, gli Stati membri dovrebbero poter mantenere o introdurre disposizioni più specifiche per adattare l’applicazione delle disposizioni del presente regolamento. Tali disposizioni possono determinare con maggiore precisione requisiti specifici per il trattamento di dati personali da parte di dette autorità competenti per tali altre finalità, tenuto conto della struttura costituzionale, organizzativa e amministrativa dei rispettivi Stati membri. Quando il trattamento dei dati personali effettuato da organismi privati rientra nell’ambito di applicazione del presente regolamento, è opportuno che lo stesso preveda la facoltà per gli Stati membri, a determinate condizioni, di adottare disposizioni legislative intese a limitare determinati obblighi e diritti, qualora tale limitazione costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia di importanti interessi specifici, comprese la sicurezza pubblica e le attività di prevenzione, indagine, accertamento e perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica. Ciò riveste particolare importanza ad esempio nel quadro del riciclaggio o di attività di medicina legale.

(...)

(154) Il presente regolamento ammette, nell’applicazione delle sue disposizioni, che si tenga conto del principio del pubblico accesso ai documenti ufficiali. L’accesso del pubblico ai documenti ufficiali può essere considerato di interesse pubblico. I dati personali contenuti in documenti conservati da un’autorità pubblica o da un organismo pubblico dovrebbero poter essere diffusi da detta autorità o organismo se la diffusione è prevista dal diritto dell’Unione o degli Stati membri cui l’autorità pubblica o l’organismo pubblico sono soggetti. Tali disposizioni legislative dovrebbero conciliare l’accesso del pubblico ai documenti ufficiali e il riutilizzo delle informazioni del settore pubblico con il diritto alla protezione dei dati personali e possono quindi prevedere la necessaria conciliazione con il diritto alla protezione dei dati personali, in conformità del presente regolamento. Il riferimento alle autorità pubbliche e agli organismi pubblici dovrebbe comprendere, in tale contesto, tutte le autorità o altri organismi cui si applica il diritto degli Stati membri sull’accesso del pubblico ai documenti. La direttiva 2003/98/CE del Parlamento europeo e del Consiglio [, del 17 novembre 2003, relativa al riutilizzo dell’informazione del settore pubblico (GU 2003, L 345, pag. 90),] non pregiudica in alcun modo il livello di tutela delle persone fisiche con riguardo al trattamento dei dati personali ai sensi delle disposizioni di diritto dell’Unione e degli Stati membri e non modifica, in particolare, gli obblighi e i diritti previsti dal presente regolamento. Nello specifico, tale direttiva non dovrebbe applicarsi ai documenti il cui accesso è escluso o limitato in virtù dei regimi di accesso per motivi di protezione dei dati personali, e a parti di documenti accessibili in virtù di tali regimi che contengono dati personali il cui riutilizzo è stato previsto per legge come incompatibile con la normativa in materia di tutela delle persone fisiche con riguardo al trattamento dei dati personali».

4 L’articolo 2, intitolato «Ambito di applicazione materiale», del RGPD dispone quanto segue:

«1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

2. Il presente regolamento non si applica ai trattamenti di dati personali:

a) effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;

b) effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, [del Trattato UE];

c) effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;

d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.

3. Per il trattamento dei dati personali da parte di istituzioni, organi, uffici e agenzie dell’Unione, si applica il regolamento (CE) n. 45/2001 [del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU 2001, L 8, pag. 1)]. Il regolamento (CE) n. 45/2001 e gli altri atti giuridici dell’Unione applicabili a tale trattamento di dati personali devono essere adeguati ai principi e alle norme del presente regolamento conformemente all’articolo 98.

4. Il presente regolamento non pregiudica pertanto l’applicazione della direttiva 2000/31/CE [del Parlamento europeo e del Consiglio dell’8 giugno 2000 relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno (“Direttiva sul commercio elettronico”) (GU 2000, L 178, pag. 1)], in particolare le norme relative alla responsabilità dei prestatori intermediari di servizi di cui agli articoli da 12 a 15 della medesima direttiva».

5 L’articolo 4, intitolato «Definizioni», del RGPD, ai punti 1, 2, 6 e 7, prevede quanto segue:

«Ai fini del presente regolamento s’intende per:

1) “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

2) “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

(...)

6) “archivio”: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

7) “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri».

6 L’articolo 5, intitolato «Principi applicabili al trattamento di dati personali», di tale regolamento è così formulato:

«1. I dati personali sono:

a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);

b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; (...) (“limitazione della finalità”);

c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”);

d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (“esattezza”);

e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; (...) (“limitazione della conservazione”);

f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”).

(...)».

7 L’articolo 6, intitolato «Liceità del trattamento», di detto regolamento, ai paragrafi da 1 a 3 così prevede:

«1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.

2. Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX.

3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:

a) dal diritto dell’Unione; o

b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento.

La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell’Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito».

8 L’articolo 10, intitolato «Trattamento dei dati personali relativi a condanne penali e reati», del RGPD dispone quanto segue:

«Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’autorità pubblica».

9 L’articolo 23, intitolato «Limitazioni», di tale regolamento recita come segue:

«1. Il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:

(...)

f) [l]’indipendenza della magistratura e dei procedimenti giudiziari;

(...)».

10 L’articolo 85 intitolato «Trattamento e libertà d’espressione e di informazione», di detto regolamento, al paragrafo 1 così prevede:

«Il diritto degli Stati membri concilia la protezione dei dati personali ai sensi del presente regolamento con il diritto alla libertà d’espressione e di informazione, incluso il trattamento a scopi giornalistici o di espressione accademica, artistica o letteraria».

11 L’articolo 86, intitolato «Trattamento e accesso del pubblico ai documenti ufficiali», del RGPD dispone quanto segue:

«I dati personali contenuti in documenti ufficiali in possesso di un’autorità pubblica o di un organismo pubblico o privato per l’esecuzione di un compito svolto nell’interesse pubblico possono essere comunicati da tale autorità o organismo conformemente al diritto dell’Unione o degli Stati membri cui l’autorità pubblica o l’organismo pubblico sono soggetti, al fine di conciliare l’accesso del pubblico ai documenti ufficiali e il diritto alla protezione dei dati personali ai sensi del presente regolamento».

Diritto finlandese

Legge in materia di protezione dei dati personali (1050/2018)

12 Il tietosuojalaki (1050/2018) [legge in materia di protezione dei dati personali (1050/2018)] all’articolo 1 dispone quanto segue:

«La presente legge precisa e integra il [RGPD] e la sua applicazione a livello nazionale».

13 L’articolo 28 di tale legge è così formulato:

«Il diritto di ottenere dati contenuti nel registro anagrafico presso un’autorità pubblica e ogni diversa comunicazione di dati personali contenuti in un siffatto registro sono disciplinati dalle disposizioni in materia di trasparenza dell’attività della pubblica amministrazione».

Legge in materia di trasparenza dell’attività della pubblica amministrazione (621/1999)

14 Il laki viranomaisten toiminnan julkisuudesta (621/1999) [legge in materia di trasparenza dell’attività della pubblica amministrazione (621/1999)] all’articolo 13 così prevede:

«Una domanda di comunicazione di informazioni sul contenuto di un atto deve essere tanto precisa da consentire all’autorità pubblica di chiarire a quale atto la richiesta si riferisca. La pubblica autorità assiste il soggetto che richiede un’informazione, con l’ausilio del registro degli atti in entrata e di altri elenchi, nell’individuare l’atto contenente le informazioni da lui richieste. Detto soggetto non è tenuto a rivelare la propria identità, né a motivare la propria richiesta, salvo che ciò si renda necessario ai fini dell’esercizio di un potere discrezionale accordato all’autorità amministrativa o per chiarire se egli abbia o meno diritto a ottenere informazioni sul contenuto degli atti.

Salvo se diversamente disposto, nel richiedere informazioni tratte da un atto riservato, dal registro anagrafico presso un’autorità pubblica o da un diverso atto il cui contenuto può essere divulgato solo a determinate condizioni, il richiedente deve indicare l’utilizzo previsto dell’informazione, comunicare le altre circostanze necessarie per chiarire i presupposti della divulgazione delle informazioni e, se necessario, fornire indicazioni sulle modalità con cui dovrà essere garantita la protezione delle informazioni».

15 L’articolo 16 di tale legge dispone quanto segue:

«Le informazioni sul contenuto di un atto sono fornite verbalmente o mediante messa a disposizione dell’atto presso l’autorità pubblica al fine di poterne prendere visione, trarne copia o ascoltarne il contenuto, oppure rilasciandone una copia o una stampa. Le informazioni sul contenuto pubblico di un atto devono essere fornite con le modalità richieste a condizione che ciò non gravi in maniera inaccettabile sull’attività dell’autorità pubblica in considerazione dell’elevato numero degli atti, della difficoltà nel copiarli o per una diversa ragione equiparabile.

(...)

Salvo quanto diversamente disposto per legge, le informazioni personali tratte dal registro anagrafico presso un’autorità pubblica sono fornite sotto forma di copia o di stampa oppure in formato elettronico, qualora il destinatario sia autorizzato, a norma delle disposizioni in materia di protezione dei dati personali, a conservare e utilizzare siffatte informazioni personali. Tuttavia, possono essere comunicati dati personali a fini di marketing diretto e di sondaggi d’opinione o di mercato solo se ciò è specificamente previsto o se l’interessato ha dato il suo consenso.

(...)».

Legge in materia di pubblicità dei procedimenti giudiziari dinanzi alle autorità giurisdizionali ordinarie (370/2007)

16 Ai sensi dell’articolo 1 del laki oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa (370/2007) [legge in materia di pubblicità dei procedimenti giudiziari dinanzi alle autorità giurisdizionali ordinarie (370/2007)]:

«Il procedimento giudiziario e gli atti giudiziari sono pubblici, salvo quanto altrimenti disposto nella presente legge o in un’altra legge».

Legge che disciplina il trattamento dei dati personali in materia penale e nel quadro del mantenimento della sicurezza nazionale (1054/2018)

17 L’articolo 1 del laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018) [legge che disciplina il trattamento dei dati personali in materia penale e nel quadro del mantenimento della sicurezza nazionale (1054/2018)] al primo paragrafo prevede che tale legge è applicata dalle autorità pubbliche competenti in sede di trattamento dei dati personali, in particolare quando si tratta di un procedimento penale dinanzi a un’autorità giurisdizionale. In forza del suo quarto comma, detta legge si applica unicamente a un trattamento di dati personali ai sensi del paragrafo 1 che sia realizzato in maniera interamente o parzialmente automatizzata o nell’ambito del quale i dati da trattare formino o siano destinati a formare un registro o una parte di un registro.

18 Ai sensi dell’articolo 2, secondo comma, di tale legge:

«Il diritto di ottenere dati contenuti nel registro anagrafico di un’autorità pubblica e ogni diversa comunicazione di dati personali contenuti in un siffatto registro sono disciplinati dalle disposizioni in materia di trasparenza dell’attività della pubblica amministrazione».

Procedimento principale e questioni pregiudiziali

19 La Endemol Shine Finland, ricorrente nel procedimento principale, ha chiesto oralmente all’Etelä-Savon käräjäoikeus (Tribunale di primo grado del Savo meridionale, Finlandia) informazioni riguardanti eventuali condanne penali in corso o già scontate relative a una persona fisica partecipante a un concorso organizzato da tale società, al fine di accertare i precedenti giudiziari di tale persona.

20 L’Etelä-Savon käräjäoikeus (Tribunale di primo grado del Savo meridionale) ha respinto la domanda della ricorrente nel procedimento principale, ritenendo che tale domanda riguardasse decisioni o informazioni pubbliche ai sensi della legge in materia di pubblicità dei procedimenti giudiziari dinanzi alle autorità giurisdizionali ordinarie. Secondo tale organo giurisdizionale, il motivo indicato dalla ricorrente nel procedimento principale non costituiva un motivo attinente al trattamento delle condanne penali o dei reati menzionato nell’articolo 7 della legge in materia di protezione dei dati personali. Il fatto di effettuare ricerche nei sistemi informatici di tale organo giurisdizionale avrebbe parimenti costituito un trattamento di dati personali, cosicché le informazioni richieste non avrebbero potuto essere comunicate nemmeno oralmente.

21 La ricorrente nel procedimento principale ha interposto appello avverso tale sentenza dinanzi all’Itä-Suomen hovioikeus (Corte d’appello della Finlandia orientale, Finlandia), giudice del rinvio, sostenendo che la comunicazione orale delle informazioni da essa richieste non costituisce un trattamento di dati personali, ai sensi dell’articolo 4, punto 2, del RGPD.

22 Il giudice del rinvio chiede se l’articolo 2, paragrafo 1, e l’articolo 4, punto 2, del RGPD debbano essere interpretati nel senso che la comunicazione orale di informazioni su eventuali condanne penali pendenti o già scontate a carico di una persona fisica costituisce un trattamento di dati personali ai sensi di tale regolamento. Al riguardo, detto giudice rileva che il trattamento dei dati personali effettuato dalle autorità pubbliche finlandesi è disciplinato dalla legge in materia di protezione dei dati personali. Tuttavia, le restrizioni normalmente connesse al trattamento di simili dati non sarebbero applicabili, a causa del carattere pubblico dei dati in possesso di tali autorità, ma anche dell’articolo 28 di tale legge e dell’articolo 2, secondo comma, della legge che disciplina il trattamento dei dati personali in materia penale e nel quadro del mantenimento della sicurezza nazionale (1054/2018).

23 Al fine di conciliare la protezione dei dati personali con il diritto di accesso del pubblico alle informazioni, l’articolo 16 della legge in materia di trasparenza dell’attività della pubblica amministrazione (621/1999) limita la comunicazione di dati personali provenienti da un archivio relativo a persone, tenuto da un’autorità pubblica, in forma cartacea, stampata o elettronica. Tuttavia, dato che tale articolo non si applicherebbe alla comunicazione orale di dati personali in possesso delle autorità pubbliche, contenuti in archivi relativi a persone, occorrerebbe chiedersi in che modo garantire una simile conciliazione e tener conto di considerazioni importanti relative alla protezione dei dati personali qualora simili dati, relativi a persone, contenuti negli archivi delle autorità pubbliche siano comunicati oralmente.

24 In tali circostanze, l’Itä-Suomen hovioikeus (Corte d’appello della Finlandia orientale) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1) Se una comunicazione verbale di dati personali integri un trattamento di dati personali ai sensi dell’articolo 2, paragrafo 1, e dell’articolo 4, punto 2, del [RGPD].

2) Se l’accesso del pubblico ai documenti ufficiali possa essere conciliato con il diritto alla protezione dei dati personali secondo le modalità indicate nell’articolo 86 del [RGPD], ove si preveda la possibilità di ottenere dal registro anagrafico presso un tribunale informazioni illimitate sulle sentenze penali o i reati commessi da una determinata persona fisica, qualora si richieda di comunicare al richiedente dette informazioni verbalmente.

3) Se, ai fini della risposta alla questione sub 2), acquisti rilevanza il fatto che il richiedente sia una società o una persona fisica».

Sulle questioni pregiudiziali

Sulla prima questione

25 Con la sua prima questione il giudice del rinvio chiede sostanzialmente se l’articolo 2, paragrafo 1, e l’articolo 4, punto 2, del RGPD debbano essere interpretati nel senso che la comunicazione orale di informazioni su eventuali condanne penali in corso o già scontate a carico di una persona fisica costituisca un trattamento di dati personali ai sensi dell’articolo 4, punto 2, di tale regolamento e, in caso affermativo, se tale trattamento rientri nell’ambito di applicazione materiale di tale regolamento, come definito al suo articolo 2, paragrafo 1.

26 In via preliminare, da un lato, occorre ricordare che, al fine di interpretare tali disposizioni del diritto dell’Unione occorre tener conto non soltanto della loro formulazione, ma anche del contesto in cui esse si inseriscono e degli obiettivi che persegue la normativa di cui esse fanno parte [sentenza del 12 gennaio 2023, Österreichische Post (Informazioni relative ai destinatari di dati personali), C‑154/21, EU:C:2023:3, punto 29].

27 Dall’altro lato, occorre sottolineare che è pacifico, nella controversia principale, che le informazioni di cui la ricorrente nel procedimento principale chiede la comunicazione costituiscono dati personali, ai sensi dell’articolo 4, punto 1, del RGPD.

28 L’articolo 4, punto 2, di tale regolamento definisce la nozione di «trattamento» come «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o [a] insiemi di dati personali».

29 Risulta in particolare dall’espressione «qualsiasi operazione», che il legislatore dell’Unione ha inteso dare alla nozione di «trattamento» una portata ampia, interpretazione corroborata dal carattere non tassativo, espresso dal vocabolo «come», delle operazioni elencate in detta disposizione [v., in tal senso, sentenze del 24 febbraio 2022, Valsts ieņēmumu dienests (Trattamento di dati personali a fini fiscali), C‑175/20, EU:C:2022:124, punto 35, e del 22 giugno 2023, Pankki S, C‑579/21, EU:C:2023:501, punto 46].

30 Tale elenco riguarda, tra l’altro, la comunicazione mediante trasmissione, diffusione e «qualsiasi altra forma di messa a disposizione», operazioni che possono essere automatizzate o meno. Al riguardo, l’articolo 4, punto 2, del RGPD non pone alcuna condizione quanto alla forma del trattamento «non automatizzato». La nozione di «trattamento» comprende pertanto la comunicazione orale.

31 Tale interpretazione della nozione di «trattamento» è suffragata dall’obiettivo del RGPD, il quale consiste, segnatamente, come risulta dal suo articolo 1 e dai suoi considerando 1 e 10, nel garantire un elevato grado di protezione dei diritti e delle libertà fondamentali delle persone fisiche, in particolare del loro diritto alla vita privata, con riguardo al trattamento dei dati personali, sancito all’articolo 8, paragrafo 1, della Carta e all’articolo 16, paragrafo 1, TFUE [v., in tal senso, sentenza del 4 maggio 2023, Bundesrepublik Deutschland (Casella di posta elettronica degli uffici giudiziari), C‑60/22, EU:C:2023:373, punto 64]. Infatti, la possibilità di eludere l’applicazione di tale regolamento comunicando dati personali oralmente anziché per iscritto sarebbe manifestamente incompatibile con tale obiettivo.

32 In tali circostanze, la nozione di «trattamento» di cui all’articolo 4, punto 2, del RGPD comprende necessariamente la comunicazione orale di dati personali.

33 Tuttavia, si pone ancora la questione di stabilire se un simile trattamento rientri nell’ambito di applicazione materiale del RGPD. L’articolo 2 di tale regolamento, che ne definisce l’ambito di applicazione, al paragrafo 1 dispone che detto regolamento si applica al trattamento «interamente o parzialmente automatizzato» nonché al trattamento «non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi».

34 Al riguardo, dal tenore letterale di quest’ultima disposizione nonché dal considerando 15 del RGPD risulta che tale regolamento si applica sia al trattamento automatizzato di dati personali sia al trattamento manuale di simili dati, al fine di non far dipendere la tutela che tale regolamento conferisce alle persone i cui dati sono oggetto di trattamento dalle tecniche impiegate e di evitare rischi gravi di elusione di tale tutela. Tuttavia, ne risulta anche che tale regolamento si applica ai trattamenti manuali di dati personali solo se i dati trattati sono «contenuti in un archivio o destinati a figurarvi» (v., per analogia, sentenza del 10 luglio 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punto 53).

35 Poiché la comunicazione orale costituisce in quanto tale un trattamento non automatizzato, i dati oggetto di detto trattamento devono quindi essere «contenuti» in un «archivio» o «destinati a figurarvi» affinché tale trattamento rientri nell’ambito di applicazione materiale del RGPD.

36 Quanto alla nozione di «archivio», l’articolo 4, punto 6, del RGPD prevede che essa comprende «qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico».

37 Al riguardo, la Corte ha già statuito che, conformemente all’obiettivo ricordato al punto 34 della presente sentenza, tale disposizione definisce estensivamente la nozione di «archivio», in particolare indicando «qualsiasi» insieme strutturato di dati personali. Inoltre, il requisito secondo cui l’insieme di dati personali deve avere un carattere «strutturato (...) secondo criteri determinati» mira unicamente a consentire che i dati relativi a una persona possano essere individuati facilmente. A parte tale requisito, l’articolo 4, punto 6, del RGPD non prescrive né le modalità secondo le quali un archivio deve essere strutturato né la forma che deve presentare. In particolare, non risulta da tale disposizione né da nessun’altra disposizione di tale regolamento che i dati personali in questione dovrebbero figurare in schede o elenchi specifici o in un altro sistema di ricerca, al fine di poter accertare l’esistenza di un archivio ai sensi di detto regolamento (v., per analogia, sentenza del 10 luglio 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punti da 56 a 58).

38 Nel caso di specie, dalla domanda di pronuncia pregiudiziale risulta che i dati richiesti dalla ricorrente nel procedimento principale sono contenuti in un «registro anagrafico presso un tribunale». Sembra quindi che tali dati siano contenuti in un archivio ai sensi dell’articolo 4, punto 6, del RGPD, circostanza che spetta tuttavia al giudice del rinvio verificare, senza che occorra sapere se detti dati siano contenuti in banche dati elettroniche o ancora in fascicoli o registri fisici.

39 In tali circostanze, occorre rispondere alla prima questione dichiarando che l’articolo 2, paragrafo 1, e l’articolo 4, punto 2, del RGPD devono essere interpretati nel senso che la comunicazione orale di informazioni su eventuali condanne penali in corso o già scontate a carico di una persona fisica costituisce un trattamento di dati personali, ai sensi dell’articolo 4, punto 2, di tale regolamento, che rientra nell’ambito di applicazione materiale di detto regolamento, se tali informazioni sono contenute in un archivio o destinate a figurarvi.

Sulle questioni seconda e terza

40 Con le questioni seconda e terza, che occorre esaminare congiuntamente, il giudice del rinvio chiede sostanzialmente se le disposizioni del RGPD, in particolare il suo articolo 86, debbano essere interpretate nel senso che esse ostano a che i dati relativi a condanne penali di una persona fisica contenuti in un archivio tenuto da un organo giurisdizionale possano essere comunicati oralmente a qualsiasi persona al fine di garantire l’accesso del pubblico a documenti ufficiali, senza che la persona che chiede la comunicazione debba giustificare un interesse specifico a ottenere detti dati, e se la risposta a tale questione differisca a seconda che tale persona sia una società commerciale o un privato.

41 Tale questione trae origine dalla normativa nazionale di cui al procedimento principale in quanto essa non richiede il rispetto delle disposizioni nazionali relative alla protezione dei dati personali qualora tali dati siano comunicati oralmente.

42 Al riguardo, occorre ricordare che, in forza dell’articolo 288, secondo comma, TFUE, un regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri. Pertanto, a motivo della loro stessa natura e della loro funzione nell’ambito delle fonti del diritto dell’Unione, le disposizioni dei regolamenti producono in genere effetti immediati negli ordinamenti giuridici nazionali, senza che le autorità nazionali debbano adottare misure di attuazione (sentenze del 16 giugno 2022, Port de Bruxelles e Région de Bruxelles-Capitale, C‑229/21, EU:C:2022:471, punto 47, nonché del 30 marzo 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, punto 77).

43 Pertanto, un giudice nazionale è tenuto ad applicare i requisiti del RGPD nel suo insieme, anche se non esistono disposizioni specifiche nel diritto nazionale applicabile che consentano di prendere in considerazione gli interessi della persona i cui dati personali sono in questione (v., in tal senso, sentenza del 2 marzo 2023, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, punti 44 e 59).

44 Dalle considerazioni che precedono risulta che la comunicazione orale dei dati relativi a condanne penali di una persona fisica può aver luogo solo se le condizioni poste dal RGPD sono soddisfatte, se tali dati sono contenuti in un archivio o destinati a figurarvi.

45 A tale titolo, occorre rilevare che, conformemente alla giurisprudenza costante della Corte, qualsiasi trattamento di dati personali deve, da un lato, essere conforme ai principi relativi al trattamento dei dati stabiliti all’articolo 5 del RGPD e, dall’altro, alla luce, in particolare, del principio della liceità del trattamento, previsto al paragrafo 1, lettera a), di tale articolo, soddisfare una delle condizioni di liceità del trattamento elencate all’articolo 6 di tale regolamento [v., in tal senso, sentenze del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 96, nonché del 7 dicembre 2023, SCHUFA Holding e a. (Scoring), C‑634/21, EU:C:2023:957, punto 67].

46 In particolare, il trattamento dei dati personali di cui al procedimento principale, ossia la comunicazione orale al pubblico dei dati relativi ai reati, può rientrare nell’ambito di applicazione dell’articolo 6, paragrafo 1, lettera e), del RGPD, in forza del quale il trattamento è lecito se e nella misura in cui è «necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» [v., in tal senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 99].

47 Inoltre, per quanto riguarda più specificamente dati relativi alle condanne penali e ai reati, l’articolo 10 del RGPD sottopone il loro trattamento a restrizioni supplementari. Conformemente a tale disposizione, il trattamento di tali dati «deve avvenire soltanto sotto il controllo dell’autorità pubblica», a meno che esso non sia «autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati» [v., in tal senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 100].

48 La Corte ha già statuito che né l’articolo 6, paragrafo 1, lettera e), del RGPD né l’articolo 10 di tale regolamento vietano in maniera generale e assoluta che un’autorità pubblica sia autorizzata, se non addirittura obbligata, a comunicare dati personali alle persone che ne fanno richiesta [v., in tal senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 103].

49 Pertanto, il RGPD non osta a che dati personali siano comunicati al pubblico qualora tale comunicazione sia necessaria per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, ai sensi dell’articolo 6, paragrafo 1, lettera e), di tale regolamento. Lo stesso vale qualora i dati in questione rientrino nell’ambito di applicazione dell’articolo 10 del RGPD, purché la normativa che autorizza tale comunicazione preveda garanzie appropriate per i diritti e le libertà degli interessati [v., in tal senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 104].

50 Nel caso di specie, dalla decisione di rinvio nonché dalle osservazioni scritte presentate dal governo finlandese risulta che la normativa nazionale in materia di trasparenza dell’attività della pubblica amministrazione e quella in materia di pubblicità dei procedimenti giudiziari dinanzi alle autorità giurisdizionali ordinarie riguardano l’adempimento del compito di interesse pubblico che consente di garantire l’accesso del pubblico ai documenti ufficiali.

51 In tali circostanze, il giudice del rinvio cerca di stabilire, più in particolare, se il trattamento dei dati personali di cui al procedimento principale possa essere considerato lecito alla luce del principio di proporzionalità, segnatamente alla luce del bilanciamento da effettuare tra, da un lato, il diritto di accesso del pubblico a documenti ufficiali, di cui all’articolo 86 del RGPD, e, dall’altro, i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, sanciti agli articoli 7 e 8 della Carta.

52 Al riguardo, occorre ricordare che i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali non sono prerogative assolute, come indica il considerando 4 del RGPD, ma vanno considerati alla luce della loro funzione sociale e bilanciati con altri diritti fondamentali. Limitazioni possono quindi essere apportate, a condizione che, conformemente all’articolo 52, paragrafo 1, della Carta, esse siano previste dalla legge e rispettino il contenuto essenziale dei diritti fondamentali nonché il principio di proporzionalità. In forza di tale principio, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui. Esse devono operare nei limiti dello stretto necessario e la normativa che comporta l’ingerenza deve prevedere norme chiare e precise che disciplinano la portata e l’applicazione della misura in questione [v., in tal senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 105].

53 Al fine di determinare se una comunicazione al pubblico di dati personali relativi a condanne penali sia necessaria per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, ai sensi dell’articolo 6, paragrafo 1, lettera e), del RGPD, e se la normativa che autorizza una simile comunicazione preveda garanzie appropriate per i diritti e le libertà degli interessati, ai sensi dell’articolo 10 di tale regolamento, occorre verificare in particolare se, alla luce della gravità dell’ingerenza nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali causata da tale comunicazione, quest’ultima risulti giustificata e, in particolare, proporzionata, ai fini della realizzazione degli obiettivi perseguiti [v., in tal senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 106].

54 Quanto alla gravità dell’ingerenza in tali diritti, la Corte ha già dichiarato che il trattamento dei dati relativi alle condanne penali e ai reati o alle connesse misure di sicurezza può, a causa della particolare sensibilità di tali dati, costituire un’ingerenza particolarmente grave nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, garantiti dagli articoli 7 e 8 della Carta. Infatti, dal momento che simili dati riguardano condotte che suscitano la disapprovazione della società, la concessione di un accesso a simili dati può comportare la stigmatizzazione dell’interessato e costituire, in tal modo, una grave ingerenza nella sua vita privata o professionale [v., in tal senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punti 74, 75 e 112].

55 Sebbene l’accesso del pubblico ai documenti ufficiali a cui il giudice del rinvio fa riferimento costituisca, come si evince dal considerando 154 del RGPD, un interesse pubblico che può legittimare la comunicazione di dati personali che figurano in tali documenti, tale accesso deve nondimeno conciliarsi con i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, come del resto richiesto espressamente dall’articolo 86 del RGPD. Orbene, in considerazione, segnatamente, della sensibilità dei dati relativi alle condanne penali e della gravità dell’ingerenza nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali degli interessati, che la divulgazione di tali dati provoca, occorre ritenere che detti diritti prevalgano sull’interesse del pubblico ad avere accesso ai documenti ufficiali [v., in tal senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 120].

56 Per questa medesima ragione, il diritto alla libertà d’informazione di cui all’articolo 85 del RGPD non può essere interpretato nel senso che esso giustifica la comunicazione a qualsiasi persona che ne faccia richiesta di dati personali relativi a condanne penali [v., in tal senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 121].

57 Al riguardo, poco importa sapere se la persona che chiede l’accesso ai dati relativi alle condanne penali sia una società commerciale o un privato o se la comunicazione di tali dati sia effettuata per iscritto od oralmente.

58 Alla luce delle considerazioni che precedono, occorre rispondere alle questioni pregiudiziali seconda e terza dichiarando che le disposizioni del RGPD, in particolare il suo articolo 6, paragrafo 1, lettera e), e l’articolo 10 del medesimo, devono essere interpretate nel senso che esse ostano a che i dati relativi a condanne penali di una persona fisica contenuti in un archivio tenuto da un organo giurisdizionale possano essere comunicati oralmente a qualsiasi persona al fine di garantire l’accesso del pubblico a documenti ufficiali, senza che la persona che chiede la comunicazione debba giustificare un interesse specifico a ottenere detti dati; il fatto che tale persona sia una società commerciale o un privato non rileva a tale riguardo.

Sulle spese

59 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Sesta Sezione) dichiara:

1) L’articolo 2, paragrafo 1, e l’articolo 4, punto 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),

devono essere interpretati nel senso che:

la comunicazione orale di informazioni su eventuali condanne penali in corso o già scontate a carico di una persona fisica costituisce un trattamento di dati personali, ai sensi dell’articolo 4, punto 2, di tale regolamento, che rientra nell’ambito di applicazione materiale di detto regolamento, se tali informazioni sono contenute in un archivio o destinate a figurarvi.

2) Le disposizioni del regolamento 2016/679, in particolare il suo articolo 6, paragrafo 1, lettera e), e l’articolo 10 del medesimo,

devono essere interpretate nel senso che:

esse ostano a che i dati relativi a condanne penali di una persona fisica contenuti in un archivio tenuto da un organo giurisdizionale possano essere comunicati oralmente a qualsiasi persona al fine di garantire l’accesso del pubblico a documenti ufficiali, senza che la persona che chiede la comunicazione debba giustificare un interesse specifico a ottenere detti dati; il fatto che tale persona sia una società commerciale o un privato non rileva a tale riguardo.

Firme

* Lingua processuale: il finlandese.