Diritto civile
Tutela dei Diritti
27 | 02 | 2025
Trattamento dei dati personali: la CGUE sulla mancanza di capacità giuridica propria e gli obblighi legali delle entità titolari del trattamento
Flavia Guatteri
Con sentenza del 27 febbraio 2025 - relativa alla causa
C-638/23 – l’ottava sezione della Corte di Giustizia dell’Unione Europea si è
soffermata sull’interpretazione dell’art. 4, punto 7, del Regolamento (UE)
2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016
(Regolamento generale sulla protezione dei dati) in merito alla protezione
delle persone fisiche con riguardo al trattamento dei dati personali, nonché
della libera circolazione di tali dati.
All’art. 4, punto 7 di detto regolamento viene definito il Titolare del trattamento come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”. La disposizione enuncia anche che “quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”. Prevedendo un’ampia definizione della nozione di «titolare del trattamento», il legislatore dell’Unione ha voluto assicurare una protezione completa ed efficace degli interessati (C-683/21, EU:C:2023:949, punto 29; C-807/21, EU:C:2023:950, punto 40).
L’obiettivo finale perseguito dal R.G.P.D., come risulta dal suo art. 1, è quello di garantire un’elevata protezione dei diritti e delle libertà fondamentali delle persone fisiche - in particolare del loro diritto alla vita privata - con riguardo al trattamento dei dati personali, sancita sia dall’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’UE, sia all’articolo 16, paragrafo 1, del Trattato sul funzionamento dell’Unione europea (T.F.U.E.). La Corte si è interrogata sulla possibilità di interpretare il succitato art. 4 nel senso di ammettere una normativa nazionale che designi quale titolare del Trattamento dei dati un’entità amministrativa ausiliaria priva di personalità giuridica, nonché di una capacità giuridica propria e senza precisare, in concreto, le specifiche operazioni di trattamento di dati personali di cui tale ente è titolare né la finalità di tali operazioni.
La Corte aveva già dichiarato
che ai sensi dell’art. 4 R.G.P.D. risulta che un titolare del trattamento può
essere anche un’autorità pubblica, un servizio, o un organismo, in quanto tali
entità non sono necessariamente dotate di personalità giuridica in funzione del
diritto nazionale (C‑231/22, EU:C:2024:7, punto 36).
La Corte specifica inoltre la non incidenza del fatto che l’entità titolare del trattamento possegga o meno una propria personalità giuridica o capacità giuridica, in quanto la Corte sottolinea come l’unico elemento che rilevi sia che il soggetto titolare del trattamento risponda, secondo le modalità previste dalla normativa dello Stato membro a cui appartiene, agli obblighi legali imposti dall’art. 74 del R.G.P.D. nei confronti degli interessati in materia di protezione di dati personali. Il regolamento in questione prevede infatti che il titolare del trattamento sia responsabile per qualsiasi trattamento di dati personali che abbia effettuato direttamente o indirettamente (mediante terzi); è tenuto a mettere in atto delle misure efficaci e adeguate, e deve essere in grado di dimostrare la conformità delle attività svolte ai fini del trattamento con il R.G.P.D., compresa la loro efficacia. Inoltre, le misure in oggetto devono tenere conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà personali delle persone fisiche.
La Corte sottolinea come l’art. 4 punto 7 del suddetto Regolamento deve essere interpretato nel senso che non osta a una normativa nazionale che non determini in concreto le specifiche finalità e mezzi di trattamento dei dati personali che competono al singolo ente qualificato titolare del trattamento, quando questi derivino in modo sufficientemente certo dal ruolo, funzione e attribuzione che sono state devoluti a tale entità. Possiamo dire quindi che la condizione è soddisfatta se le finalità e mezzi in oggetto risultano dalle disposizioni di diritto nazionale che disciplinano l’attività del soggetto titolare del trattamento.
