In data 3 aprile 2025, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-710/23, L.H. contro Ministerstvo zdravotnictví, sull’interpretazione dell’articolo 4, punto 1, e dell’articolo 6, paragrafo 1, lettere c) ed e), del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di una controversia tra L.H. e il Ministerstvo zdravotnictví (Ministero della salute della Repubblica ceca) in merito alla decisione di quest’ultimo di non comunicare a L.H. talune informazioni riguardanti rappresentanti di persone giuridiche[2], menzionati in contratti di acquisto di test di depistaggio del coronavirus nonché nei certificati ad essi relativi.
Più particolarmente, tale decisione trovava la sua ratio nella necessità di proteggere i dati personali delle persone fisiche menzionate nei certificati, conformemente a quanto prescritto dal GDPR. L.H., pertanto, aveva proposto un ricorso diretto ad ottenere l’annullamento della decisione di comunicazione del Ministero della salute dinanzi al Městský soud v Praze (Corte municipale di Praga), che lo aveva accolto. Di conseguenza, il Ministero della salute si era rivolto al Nejvyšší správní soud (Corte amministrativa suprema; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia due questioni pregiudiziali.
Con la prima questione, il giudice del rinvio chiedeva se l’articolo 4, punti 1 e 2[3], del GDPR debba essere interpretato nel senso che la comunicazione del nome, del cognome, della firma e dei dati di contatto di una persona fisica che rappresenta una persona giuridica costituisca trattamento di dati personali, anche se tale comunicazione viene effettuata al solo scopo di consentire l’identificazione della persona fisica autorizzata ad agire a nome della persona giuridica di cui trattasi.
La Corte ha preliminarmente ricordato che l’uso dell’espressione “qualsiasi informazione” nella definizione di “dato personale” ai sensi dell’articolo 4, punto 1, del GDPR riflette l’obiettivo del legislatore dell’Unione di attribuirvi un’accezione estesa, che comprenda potenzialmente ogni tipo di informazioni, tanto oggettive quanto soggettive, sotto forma di pareri o di valutazioni, a condizione che esse riguardino la persona interessata, ciò che si verifica qualora, in ragione del loro contenuto, della loro finalità o del loro effetto, esse siano connesse ad una persona identificabile[4]. Di conseguenza, le informazioni relative all’identità delle persone fisiche identificate o identificabili che, in quanto organo previsto per legge o membri di tale organo, hanno il potere di obbligare una società di fronte ai terzi, costituiscono dati personali ai sensi dell’articolo 4, punto 1, del GDPR, non venendo private di tale qualificazione per il fatto di inserirsi nel contesto di un’attività professionale[5].
Del pari, il legislatore ha inteso dare all’espressione “qualsiasi operazione” ai sensi dell’articolo 4, punto 2, del GDPR una portata ampia, non riservando la qualifica di “trattamento” in funzione della finalità delle operazioni in questione. Di conseguenza, la comunicazione di dati come il nome, il cognome, la firma e i dati di contatto di una persona fisica che rappresenta una persona giuridica rientra nella nozione di “trattamento” ai sensi dell’articolo 4, punto 2, del GDPR.
Con la seconda questione, invece, il giudice del rinvio chiedeva se l’articolo 6, paragrafo 1, lettere c) ed e)[6], del GDPR debba essere interpretato nel senso che esso osta ad una giurisprudenza nazionale secondo cui il titolare del trattamento, che è una pubblica autorità incaricata di conciliare il diritto d’accesso del pubblico ai documenti ufficiali e quello alla protezione dei dati personali, è tenuto ad informare e a consultare la persona fisica interessata prima della comunicazione dei documenti ufficiali che contengono tali dati.
Nel caso concreto, il trattamento in questione può ricadere sia nel punto c) che nel punto e) dell’articolo 6, paragrafo 1, del GDPR, in quanto è imposto al relativo titolare nell’esecuzione di un compito di interesse pubblico consistente nel garantire l’accesso ai documenti ufficiali. A tale riguardo, quando le informazioni richieste contengono dati personali, la normativa nazionale di cui trattasi prevede che essi possano essere comunicati solo rispettando quella riguardante la loro protezione, che include il GDPR. La giurisprudenza citata dal giudice del rinvio, inoltre, enuncia obblighi complementari, i quali si aggiungono a quelli espressamente previsti da tale regolamento, imponendo alle pubbliche autorità di informare e di consultare l’interessato prima di procedere a qualsiasi comunicazione di tali dati.
Tutto ciò premesso, la Corte ha preliminarmente ricordato che, in forza dell’articolo 6, paragrafi 2 e 3[7], del GDPR, gli Stati Membri possono introdurre disposizioni specifiche per garantire un trattamento lecito e corretto in situazioni specifiche, quali quelle di cui all’articolo 86[8] di tale regolamento. Più particolarmente, una giurisprudenza nazionale come quella del caso concreto può far parte della base giuridica del trattamento dei dati ai sensi dell’articolo 6, paragrafo 3, del GDPR. Di conseguenza, l’articolo 6, paragrafo 1, lettere c) ed e), di tale regolamento non osta ad una giurisprudenza nazionale che prevede un obbligo di informazione e di consultazione dell’interessato prima di qualsiasi comunicazione di dati personali che lo riguardino. Un obbligo del genere, infatti, è idoneo a garantire un trattamento lecito, corretto e trasparente nei confronti di tale soggetto, consentendogli di esprimere il suo parere riguardo alla comunicazione in questione.
Alla luce di quanto visto finora, la Corte ha pertanto statuito che:
“L’articolo 4, punti 1 e 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), dev’essere interpretato nel senso che la comunicazione del nome, del cognome, della firma e dei dati di contatto di una persona fisica che rappresenta una persona giuridica costituisce trattamento di dati personali. La circostanza che tale comunicazione sia effettuata al solo scopo di consentire l’identificazione della persona fisica autorizzata ad agire a nome di detta persona giuridica è, a tale riguardo, irrilevante.
L’articolo 6, paragrafo 1, lettere c) ed e), del regolamento 2016/679, in combinato disposto con l’articolo 86 di tale regolamento, dev’essere interpretato nel senso che esso non osta a una giurisprudenza nazionale secondo cui il titolare del trattamento, che è un’autorità pubblica incaricata di conciliare il diritto d’accesso del pubblico ai documenti ufficiali e il diritto alla protezione dei dati personali, è tenuto a informare e a consultare la persona fisica interessata prima della comunicazione dei documenti ufficiali che contengono tali dati, purché l’attuazione di un tale obbligo non sia impossibile o non richieda sforzi sproporzionati e, pertanto, non comporti restrizioni sproporzionate del diritto d’accesso del pubblico a detti documenti”.
[1] GUUE L 119 del 04.05.2016.
[2] Nello specifico il nome, il cognome, la firma e le mansioni di tali persone fisiche nonché, in alcuni casi, l’indirizzo elettronico, il numero di telefono e il sito internet di tali persone giuridiche.
[3] L’articolo 4 GDPR, intitolato “Definizioni”, ai punti 1-2 dispone: “… Ai fini del presente regolamento s’intende per:
1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione…”.
[4] CGUE 04.10.2024, Causa C‑200/23, Agentsia po vpisvaniyata, punti 130-131; CGUE 07.03.2024, Causa C‑604/22, IAB Europe, punti 36-37.
[5] CGUE 09.03.2017, Causa C‑398/15, Manni, punti 32-34.
[6] L’articolo 6 GDPR, intitolato “Liceità del trattamento”, al paragrafo 1 lettere c) ed e) dispone: “… Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: (…)
- c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
(…)
- e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento…”.
[7] L’articolo 6 del GDPR ai paragrafi 2-3 dispone: “… Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX.
La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:
- a) dal diritto dell’Unione; o
- b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento.
La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell’Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito…”.
[8] L’articolo 86 GDPR, intitolato “Trattamento e accesso del pubblico ai documenti ufficiali”, dispone: “… I dati personali contenuti in documenti ufficiali in possesso di un’autorità pubblica o di un organismo pubblico o privato per l’esecuzione di un compito svolto nell’interesse pubblico possono essere comunicati da tale autorità o organismo conformemente al diritto dell’Unione o degli Stati membri cui l’autorità pubblica o l’organismo pubblico sono soggetti, al fine di conciliare l’accesso del pubblico ai documenti ufficiali e il diritto alla protezione dei dati personali ai sensi del presente regolamento…”.