La Corte di Giustizia della UE ha sciolto un nodo interpretativo volto a chiarire chi può indossare le vesti di un titolare del trattamento, conformemente alla definizione stabilita dall’art. 4 del GDPR, grazie alla causa C‑638/23 la quale si sofferma sulla qualifica di titolare del trattamento, giungendo alla conclusione che un titolare del trattamento può anche essere un ente strumentale nudo e crudo, cioè privo di personalità e capacità giuridica propria, purché tale “entità” sia conforme e risponda sostanzialmente agli obblighi che incombono sui titolari del trattamento versus gli interessati in materia di protezione dei dati personali.
Indice degli argomenti
La sentenza della CGUE e la sua portata innovativa
Con la sentenza in questione dello scorso 27 febbraio 2025, la CGUE è stata chiamata a mettere qualche punto fermo sulla nozione di titolare del trattamento (art. 4, punto 7) a mente della quale, per dettato normativo, si può definire tale “…la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.
Il ruolo del titolare del trattamento dati: il caso
Il caso nasce da una controversia tra l’Amt der Tiroler Landesregierung – Ufficio del governo del Land Tirolo, e la Datenschutzbehörde – Autorità per la protezione dei dati austriaca, in ordine a un trattamento asseritamente illecito di dati personali di una persona fisica da parte del citato Ufficio.
Nel merito, si era trattato dell’operato di una “entità amministrativa ausiliaria al servizio del governatore la quale, in piena pandemia, aveva inviato una lettera di promemoria per la vaccinazione” a tutte le persone maggiorenni residenti nel Land di pertinenza, non ancora vaccinate contro il Covid.
I fatti, il procedimento e la questione pregiudiziale
L’Ufficio predetto incaricava quindi due imprese private che, grazie a un incrocio di dati riportati nell’anagrafe centrale vaccini nonché nel registro dei pazienti, risalivano all’indirizzo di residenza cui poi spedire le lettere a memorandum.
Pertanto, nel dicembre del 2021 un destinatario/interessato proponeva reclamo per trattamento illecito dei suoi dati personali.
Secondo il responso, “l’Ufficio non è una persona giuridica o un’autorità incaricata del trattamento di dati personali che hanno dato luogo all’invio di una «lettera di promemoria per la vaccinazione» a CW”.
In pratica, non dotato né di personalità giuridica né di una capacità giuridica propria. Ma un mero “servizio”. Ciò ha determinato quindi il rinvio della questione alla CGUE la quale tuttavia ha dipanato la questione, fornendo una interpretazione diversa, come segue.
Titolari del trattamento: il riscontro della CGUE e il principio di diritto
Stando al contenuto della sentenza, leggiamo testualmente come la CGUE argomenti, affermando che nel caso di specie, “l’Ufficio si sarebbe limitato a presentare al governatore una proposta di invio di una «lettera di promemoria per la vaccinazione», proposta che quest’ultimo avrebbe approvato nella sua qualità di presidente dell’Ufficio e di rappresentante del Land Tirolo” (artt. 56 e 58).
Di qui, la CGUE trae la conclusione secondo cui “l’Ufficio si sarebbe […] limitato ad indicare al governatore, da un lato, quale sarebbe la finalità del trattamento dei dati personali previsto, vale a dire un aumento del tasso di vaccinazione, e, dall’altro, i mezzi che sarebbero stati utilizzati sulla base di tale trattamento, vale a dire l’invio di una siffatta «lettera di promemoria per la vaccinazione» utilizzando i dati dell’anagrafe centrale vaccini e del registro dei pazienti”.
In pratica, vengono messi in luce i punti cardinali per (poter) essere riconosciuti come titolari del trattamento e cioè lo stabilire “finalità e mezzi”.
Nel caso che ci occupa, solo il governatore avrebbe deciso “tanto sulla finalità quanto sui mezzi del trattamento dei dati personali”, sicché l’Ufficio non potesse avere la qualità di «titolare del trattamento», ai sensi dell’articolo 4, punto 7, prima frase, del RGPD”.
Anzitutto, la CGUE ricorda che, “in forza dell’articolo 4, punto 7, del RGPD, la nozione di «titolare del trattamento» comprende le persone fisiche o giuridiche, le autorità pubbliche, i servizi o altri organismi che, da soli o insieme ad altri, determinano le finalità e i mezzi del trattamento”.
Sul piano giurisprudenziale tale dettato normativo, come leggiamo in sentenza “mira a garantire, mediante una definizione ampia della nozione di «titolare del trattamento», una protezione efficace e completa degli interessati”.
Ancora, la CGUE afferma come il titolare debba da un lato vincolare i suoi destinatari a rispettare la privacy (artt. 88, 5, e 9), e dall’altro imporre il margine di discrezionalità di cui dispongono le parti di tale contratto al fine di determinare il carattere necessario o meno di un trattamento di dati personali (artt.5, 6, 9).
Il messaggio è dunque chiaro: i contratti nazionali sono soggetti alle regole del GDPR, e i giudici debbono accorgersene, e i Garanti sanzionare.
Titolari del trattamento: cosa impariamo dalla sentenza
Il riscontro della CGUE è netto nel dire che “non si può escludere che un’entità possa essere qualificata come «titolare del trattamento» […], quand’anche essa sia priva di personalità giuridica”.
Infatti, per stabilire se una persona o una entità debba essere qualificata come titolare del trattamento, bisogna verificare, espressamente, se “tale persona o entità determini, da sola o insieme ad altri, le finalità e i mezzi del trattamento oppure se questi ultimi siano determinati dal diritto nazionale”.
Tuttavia, scrive la Corte “la determinazione delle finalità e dei mezzi del trattamento e, se del caso, la designazione di tale titolare da parte del diritto nazionale possono essere non solo esplicite, ma anche implicite”.
In quest’ultimo caso, detta determinazione deve derivare “in maniera sufficientemente certa dal ruolo, dalla funzione e dalle attribuzioni devolute alla persona o all’entità interessata”, richiamando un precedente giurisprudenziale (sentenza dell’11 gennaio 2024, État belge, C‑231/22, EU:C:2024:7, punto 30).
I criteri, dunque, per stabilire e identificare un titolare del trattamento non sono tanto formali – nomen omen -, quanto sostanziali. Non a caso il legislatore europeo con il GDPR ha inteso stabilire che la “responsabilità gravante sul titolare del trattamento sia identica indipendentemente dal trattamento di dati personali effettuato, sia direttamente o tramite un terzo, ma per suo conto”.
Naturalmente, oltre a ciò, il titolare del trattamento è tenuto ad attuare misure adeguate ed efficaci in grado di dimostrare la conformità delle attività di trattamento a tale regolamento, compresa l’efficacia delle misure in questione, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio che esso presenta per i diritti e le libertà delle persone fisiche”, così scrive la CGUE (al punto 32) della sentenza in parola.
Definizione di titolare del trattamento
Secondo la pronuncia in commento, la definizione di titolare del trattamento letteralmente “non osta a una normativa nazionale che designi, quale titolare del trattamento, un’entità amministrativa ausiliaria priva di personalità giuridica nonché di una capacità giuridica propria, senza precisare, in concreto, le operazioni specifiche di trattamento di dati personali di cui tale entità è titolare né la finalità di tali operazioni purché, da un lato, una siffatta entità sia atta a rispondere, conformemente alla normativa nazionale di cui trattasi, agli obblighi incombenti a un titolare del trattamento nei confronti degli interessati in materia di protezione dei dati personali e, dall’altro, detta normativa nazionale determini, esplicitamente o quantomeno implicitamente, la portata del trattamento di dati personali di cui tale entità è titolare”.
Ne consegue pertanto che per capire se una entità possa o meno ricoprire il ruolo deltitolare del trattamento, occorre che il medesimo abbia influito effettivamente sulla determinazione delle finalità e dei mezzi di trattamento. Diversamente no.
