Corte di giustizia dell'Unione Europea
Prima Sezione
Sentenza 3 aprile 2025
Presidente: Biltgen - Relatore: von Danwitz
«Rinvio pregiudiziale - Protezione delle persone fisiche con riguardo al trattamento dei dati personali - Regolamento (UE) 2016/679 - Articolo 4 - Definizioni - Articolo 6 - Liceità del trattamento - Articolo 86 - Accesso del pubblico ai documenti ufficiali - Dati relativi al rappresentante di una persona giuridica - Giurisprudenza di un organo giurisdizionale nazionale che stabilisce l'obbligo di informare e di consultare l'interessato prima della comunicazione di documenti ufficiali contenenti tali dati».
Nella causa C‑710/23, avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell'articolo 267 TFUE, dal Nejvyšší správní soud (Corte amministrativa suprema, Repubblica ceca), con decisione del 1° novembre 2023, pervenuta in cancelleria il 22 novembre 2023, L.H. contro Ministerstvo zdravotnictví.
[...]
1. La domanda di pronuncia pregiudiziale verte sull'interpretazione dell'articolo 4, punto 1, e dell'articolo 6, paragrafo 1, lettere c) ed e), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).
2. Tale domanda è stata presentata nell'ambito di una controversia tra L.H. e il Ministerstvo zdravotnictví (Ministero della salute, Repubblica ceca) in merito alla decisione di quest'ultimo di non comunicare a L.H. talune informazioni riguardanti rappresentanti di persone giuridiche, menzionati in contratti di acquisto di test di depistaggio della Covid-19 nonché nei certificati relativi a tali test.
Contesto normativo
Diritto dell'Unione
3. I considerando 1, 4, 10, 14 e 154 del RGPD enunciano quanto segue:
«(1) La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea ([in prosieguo: la] "Carta") e l'articolo 16, paragrafo 1, [TFUE] stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
(...)
(4) Il trattamento dei dati personali dovrebbe essere al servizio dell'uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d'informazione, la libertà d'impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.
(...)
(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all'interno dell'Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un'applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l'Unione. Per quanto riguarda il trattamento dei dati personali per l'adempimento di un obbligo legale, per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento, gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l'applicazione delle norme del presente regolamento. (...) In tal senso, il presente regolamento non esclude che il diritto degli Stati membri stabilisca le condizioni per specifiche situazioni di trattamento, anche determinando con maggiore precisione le condizioni alle quali il trattamento di dati personali è lecito.
(...)
(14) È opportuno che la protezione prevista dal presente regolamento si applichi alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali. Il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto.
(...)
(154) Il presente regolamento ammette, nell'applicazione delle sue disposizioni, che si tenga conto del principio del pubblico accesso ai documenti ufficiali. L'accesso del pubblico ai documenti ufficiali può essere considerato di interesse pubblico. I dati personali contenuti in documenti conservati da un'autorità pubblica o da un organismo pubblico dovrebbero poter essere diffusi da detta autorità o organismo se la diffusione è prevista dal diritto dell'Unione o degli Stati membri cui l'autorità pubblica o l'organismo pubblico sono soggetti. Tali disposizioni legislative dovrebbero conciliare l'accesso del pubblico ai documenti ufficiali e il riutilizzo delle informazioni del settore pubblico con il diritto alla protezione dei dati personali e possono quindi prevedere la necessaria conciliazione con il diritto alla protezione dei dati personali, in conformità del presente regolamento. Il riferimento alle autorità pubbliche e agli organismi pubblici dovrebbe comprendere, in tale contesto, tutte le autorità o altri organismi cui si applica il diritto degli Stati membri sull'accesso del pubblico ai documenti. (...)».
4. L'articolo 1 del RGPD, intitolato «Oggetto e finalità», al paragrafo 2, così dispone:
«Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali».
5. A termini dell'articolo 4 del RGPD, intitolato «Definizioni»:
«Ai fini del presente regolamento s'intende per:
1) "dato personale": qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
2) "trattamento": qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
(...)».
6. L'articolo 5 del RGPD, intitolato «Principi applicabili al trattamento di dati personali», prevede quanto segue:
«1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato ("liceità, correttezza e trasparenza");
(...)».
7. L'articolo 6 del RGPD, intitolato «Liceità del trattamento», prevede quanto segue:
«1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;
e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.
(...)
2. Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l'applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX.
3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:
a) dal diritto dell'Unione; o
b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento.
La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l'applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell'Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all'obiettivo legittimo perseguito.
(...)».
8. L'articolo 86 del RGPD, intitolato «Trattamento e accesso del pubblico ai documenti ufficiali», appartiene al capo IX di tale regolamento, che contiene le disposizioni relative a specifiche situazioni di trattamento. Tale articolo dispone quanto segue:
«I dati personali contenuti in documenti ufficiali in possesso di un'autorità pubblica o di un organismo pubblico o privato per l'esecuzione di un compito svolto nell'interesse pubblico possono essere comunicati da tale autorità o organismo conformemente al diritto dell'Unione o degli Stati membri cui l'autorità pubblica o l'organismo pubblico sono soggetti, al fine di conciliare l'accesso del pubblico ai documenti ufficiali e il diritto alla protezione dei dati personali ai sensi del presente regolamento».
Diritto ceco
9. Lo zákon č. 106/1999 Sb., o svobodném přístupu k informacím (legge n. 106/1999 sul libero accesso alle informazioni) prevede l'obbligo, per le pubbliche autorità, di comunicare informazioni alla persona fisica o giuridica che le richiede.
10. In forza dell'articolo 8a, paragrafo 1, di detta legge, il soggetto tenuto a fornire l'informazione di cui trattasi comunica informazioni relative alla personalità, ad elementi della sfera personale, alla vita privata di una persona fisica e dati di carattere personale solo conformemente alla normativa che ne disciplina la protezione.
Procedimento principale e questioni pregiudiziali
11. L.H. ha proposto presso il Ministero della salute una domanda di informazioni riguardante l'identificazione di persone che hanno sottoscritto contratti di acquisto di test per il depistaggio della Covid-19 conclusi da tale Ministero, nonché certificati relativi a tali test che dimostrano la possibilità di utilizzarli nel territorio dell'Unione.
12. Detto Ministero ha parzialmente accolto la domanda di L.H. e gli ha comunicato i certificati relativi ai test suddetti, occultando invece le informazioni relative alle persone fisiche che hanno sottoscritto tali certificati a nome delle persone giuridiche interessate, inclusi il nome, il cognome, la firma e le mansioni di tali persone fisiche nonché, in alcuni casi, l'indirizzo elettronico, il numero di telefono e il sito Internet di tali persone giuridiche. L'occultamento di tali informazioni era giustificato dalla protezione dei dati personali delle persone fisiche menzionate nei certificati, conformemente a quanto prescritto dal RGPD.
13. L.H. ha proposto un ricorso diretto a ottenere l'annullamento della decisione di comunicazione del Ministero della salute dinanzi al Městský soud v Praze (Corte municipale di Praga, Repubblica ceca) nella misura in cui essa ha occultato dette informazioni. Detto giudice ha accolto il ricorso considerando che il Ministero non poteva rifiutare per principio di comunicare informazioni che costituivano dati personali senza avere anticipatamente informato o raccolto il parere delle persone interessate in merito alla domanda di comunicazione dei dati stessi, come previsto dalla giurisprudenza nazionale pertinente. Infatti, secondo detto giudice, così facendo, il Ministero della salute, da un lato, ha omesso di riconoscere agli interessati la qualità di «parti in causa», ai sensi del diritto interno, e, dall'altro, non si è sufficientemente assicurato che non ricorresse nessuna delle condizioni di liceità di cui all'articolo 6, paragrafo 1, del RGPD.
14. Il Ministero della salute ha proposto ricorso per cassazione contro la decisione del Městský soud v Praze (Corte municipale di Praga) dinanzi al Nejvyšší správní soud (Corte amministrativa suprema, Repubblica ceca), che è il giudice del rinvio. Secondo tale Ministero, il fatto di non aver informato le persone fisiche interessate della domanda di comunicazione dei dati di cui trattasi non può costituire vizio di procedura. Detto Ministero fa valere che tali persone esercitano le loro attività a partire dalla Cina e dal Regno Unito, dove sono immatricolate le persone giuridiche che hanno emesso tali certificati, e che il domicilio di tali soggetti gli è sconosciuto. Pertanto, gli sarebbe impossibile informarli e consultarli in proposito.
15. In tal contesto, il giudice del rinvio si interroga, in primo luogo, sulla questione se i dati di cui trattasi nel procedimento principale costituiscano «dat[i] personal[i]», ai sensi dell'articolo 4, punto 1, del RGPD. Alla luce del considerando 14 di tale regolamento, egli sarebbe propenso a ritenere che tali informazioni costituiscano dati relativi a una persona giuridica e non rientrino nell'ambito d'applicazione del regolamento stesso. Detto giudice osserva tuttavia che la giurisprudenza della Corte privilegia un'interpretazione ampia della nozione di «dato personale», dalla quale risulterebbe che le informazioni relative a persone fisiche identificabili, provenienti, in particolare, da un registro di commercio, rientrano in tale nozione.
16. In secondo luogo, nell'ipotesi in cui la Corte dovesse ritenere che i dati di cui trattasi nel procedimento principale costituiscano dati personali, il giudice del rinvio si interroga sulla compatibilità con il diritto dell'Unione della giurisprudenza nazionale pertinente, la quale impone al titolare del trattamento, cui è stata rivolta la domanda di comunicazione dei dati, di informare l'interessato e di consultarlo prima di comunicare tali dati al richiedente. Il giudice del rinvio precisa inoltre che tale obbligo si impone anche nelle situazioni in cui il RGPD non richiede, di per sé, il consenso della persona interessata, cioè situazioni diverse da quelle previste all'articolo 6, paragrafo 1, lettera a), del RGPD. Tale obbligo eccederebbe pertanto quanto richiesto dal RGPD e renderebbe quindi l'accesso ai dati di cui trattasi potenzialmente più difficile che non in altri Stati membri. Peraltro, tenuto conto dell'ambito d'applicazione del RGPD, sarebbe difficile, se non impossibile, applicare sistematicamente l'obbligo di informazione e di previa consultazione, in particolare, per quanto riguarda i fascicoli relativi a grandi numeri di persone stabilite in paesi diversi.
17. Date le circostanze suesposte, il Nejvyšší správní soud (Corte amministrativa suprema) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se la divulgazione di nome, cognome, firma e dati di contatto di una persona fisica che è l'amministratore o il rappresentante responsabile di una persona giuridica, effettuata al solo scopo di identificare (la persona autorizzata ad agire a nome di) tale persona giuridica, costituisca comunque un trattamento di "dati personali" di tale persona fisica ai sensi dell'articolo 4, punto 1, del RGPD e rientri quindi nell'ambito di applicazione del RGPD.
2) Se il diritto nazionale, compresa la giurisprudenza costante, possa subordinare l'applicazione, da parte di un'autorità amministrativa, di un regolamento UE direttamente applicabile, nello specifico le disposizioni dell'articolo 6, paragrafo 1, lettere c) o e), del RGPD, all'adempimento di ulteriori condizioni non derivanti dal testo stesso del regolamento, ma che tuttavia estendono il livello di protezione degli interessati, in particolare all'adempimento dell'obbligo, per l'autorità pubblica, di informare preventivamente l'interessato dell'avvenuta richiesta di trasmissione di suoi dati personali a terzi».
Sulle questioni pregiudiziali
Sulla prima questione
18. Con la sua prima questione il giudice del rinvio domanda, in sostanza, se l'articolo 4, punti 1 e 2, del RGPD debba essere interpretato nel senso che la comunicazione del nome, del cognome, della firma e dei dati di contatto di una persona fisica che rappresenta una persona giuridica costituisca trattamento di dati personali, anche se tale comunicazione viene effettuata al solo scopo di consentire l'identificazione della persona fisica autorizzata ad agire a nome di detta persona giuridica.
19. In via preliminare, si deve osservare che, secondo le indicazioni fornite dal giudice del rinvio, le persone giuridiche che hanno emesso i certificati di cui trattasi nel procedimento principale sono stabilite in paesi terzi, precisamente in Cina e nel Regno Unito. Anche se tali persone giuridiche possono, al ricorrere di determinate condizioni, essere assoggettate alle norme in materia di pubblicità previste dalla direttiva (UE) 2017/1132 del Parlamento europeo e del Consiglio, del 14 giugno 2017, relativa ad alcuni aspetti di diritto societario (GU 2017, L 169, pag. 46), segnatamente quanto alla pubblicità obbligatoria delle generalità delle persone che hanno il potere di obbligare tali persone giuridiche nei confronti dei terzi, nulla, nel fascicolo sottoposto alla Corte, indica che tale direttiva sia pertinente al caso di specie.
20. Effettuata questa osservazione preliminare, occorre ricordare che, ai sensi dell'articolo 4, punto 1, del RGPD, per «dato personale» si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile». Ai sensi di tale disposizione, «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale».
21. Secondo una giurisprudenza costante, l'uso dell'espressione «qualsiasi informazione» nella definizione della nozione di «dato personale», che figura in tale disposizione, riflette l'obiettivo del legislatore dell'Unione di attribuire un'accezione estesa a tale nozione, che comprenda potenzialmente ogni tipo di informazioni, tanto oggettive quanto soggettive, sotto forma di pareri o di valutazioni, a condizione che esse «riguardino» la persona interessata. Un'informazione riguarda una persona fisica identificata o identificabile qualora, in ragione del suo contenuto, della sua finalità o del suo effetto, essa sia connessa a una persona identificabile (sentenze del 7 marzo 2024, IAB Europe, C-604/22, EU:C:2024:214, punti 36 e 37, e del 4 ottobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punti 130 e 131, e giurisprudenza citata).
22. Quindi, le informazioni relative all'identità delle persone fisiche identificate o identificabili che, in quanto organo previsto per legge o membri di tale organo, hanno il potere di obbligare una società di fronte ai terzi, costituiscono «dati personali», ai sensi dell'articolo 4, punto 1, del RGPD. La circostanza per cui tali informazioni si inseriscono nel contesto di un'attività professionale non è idonea a privarle della loro qualificazione come dati personali (v., per analogia, sentenza del 9 marzo 2017, Manni, C‑398/15, EU:C:2017:197, punti 32 e 34, e giurisprudenza citata).
23. Come osservato dalla Commissione, un'interpretazione siffatta non può essere infirmata dal considerando 14 del RGPD. In effetti, la seconda frase di tale considerando si riferisce in particolare al «nome» e ai «dati di contatto» della persona giuridica, e non delle persone fisiche che agiscono in nome o per conto di una persona giuridica.
24. Nel caso di specie, va constatato che il nome e il cognome di una persona fisica identificata o identificabile costituiscono dati personali, ai sensi dell'articolo 4, punto 1, del RGPD. Ciò vale anche per la firma di tale persona fisica (v., in tal senso, sentenza del 4 ottobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punto 136).
25. Riguardo alle altre coordinate di cui trattasi nel procedimento principale, spetta al giudice del rinvio verificare, alla luce della giurisprudenza ricordata al punto 21 della presente sentenza, se tali coordinate siano connesse a una persona fisica identificata o identificabile.
26. Ai sensi dell'articolo 4, punto 2, del RGPD, per «trattamento» si intende «qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione».
27. Risulta quindi dall'espressione «qualsiasi operazione» che il legislatore ha inteso dare a tale nozione una portata ampia, interpretazione corroborata dal carattere non tassativo, espresso dal vocabolo «come», delle operazioni elencate in detta disposizione, le quali includono la comunicazione mediante trasmissione, la diffusione e qualsiasi altra forma di messa a disposizione, operazioni che possono essere automatizzate o meno (v., in tal senso, sentenza del 7 marzo 2024, Endemol Shine Finland, C‑740/22, EU:C:2024:216, punti 29 e 30, e giurisprudenza citata).
28. Comunque sia, dal testo dell'articolo 4, punto 2, del RGPD non risulta affatto che il legislatore dell'Unione abbia inteso riservare la qualifica di «trattamento» a tali operazioni in funzione della loro finalità.
29. Un'interpretazione siffatta è conforme all'obiettivo perseguito dal RGPD, quale risulta dall'articolo 1 nonché dai considerando 1 e 10 di quest'ultimo, e che consiste, segnatamente, nel garantire un elevato livello di tutela dei diritti e delle libertà fondamentali delle persone fisiche, in particolare del loro diritto alla vita privata, con riguardo al trattamento dei dati personali, sancito dall'articolo 8, paragrafo 1, della Carta e all'articolo 16, paragrafo 1, TFUE (v., in tal senso, sentenza del 9 gennaio 2025, Mousse, C‑394/23, EU:C:2025:2, punto 21 e giurisprudenza citata).
30. Nel caso di specie, la comunicazione di dati come il nome, il cognome, la firma e i dati di contatto di una persona fisica che rappresenta una persona giuridica rientra nella nozione di «trattamento», ai sensi dell'articolo 4, punto 2, del RGPD. Come risulta dai punti da 27 a 29 della presente sentenza, la circostanza che la comunicazione di tali dati abbia per unica finalità di consentire l'identificazione della persona fisica autorizzata ad agire a nome di una persona giuridica è irrilevante ai fini della qualificazione come «trattamento» ai sensi di tale disposizione.
31. Alla luce delle considerazioni che precedono, occorre rispondere alla prima questione dichiarando che l'articolo 4, punti 1 e 2, del RGPD dev'essere interpretato nel senso che la comunicazione del nome, del cognome, della firma e dei dati di contatto di una persona fisica che rappresenta una persona giuridica costituisce trattamento di dati personali. La circostanza che tale comunicazione sia effettuata al solo scopo di consentire l'identificazione della persona fisica autorizzata ad agire a nome di detta persona giuridica è, a tale riguardo, irrilevante.
Sulla seconda questione
32. Con la sua seconda questione il giudice del rinvio domanda, in sostanza, se l'articolo 6, paragrafo 1, lettere c) ed e), del RGPD debba essere interpretato nel senso che esso osta a una giurisprudenza nazionale secondo cui il titolare del trattamento, che è una pubblica autorità incaricata di conciliare il diritto d'accesso del pubblico ai documenti ufficiali e il diritto alla protezione dei dati personali, è tenuto ad informare e a consultare la persona fisica interessata prima della comunicazione dei documenti ufficiali che contengono tali dati.
33. Conformemente all'obiettivo perseguito dal RGPD, come ricordato al punto 29 della presente sentenza, qualsiasi trattamento di dati personali deve, in particolare, essere conforme ai principi applicabili al trattamento di tali dati enunciati all'articolo 5 del regolamento stesso e soddisfare le condizioni di liceità elencate all'articolo 6 di detto regolamento (sentenza del 9 gennaio 2025, Mousse, C‑394/23, EU:C:2025:2, punto 22 e giurisprudenza citata).
34. A tale riguardo, l'articolo 5, paragrafo 1, lettera a), del RGPD dispone che i dati personali siano trattati in modo lecito, corretto e trasparente nei confronti dell'interessato.
35. L'articolo 6, paragrafo 1, lettera c), del RGPD enuncia che il trattamento può essere lecito solo se e nella misura in cui è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento. Inoltre, secondo l'articolo 6, paragrafo 1, lettera e), di tale regolamento, il trattamento è altresì lecito se e nella misura in cui è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento.
36. Secondo l'articolo 6, paragrafo 2, del RGPD, gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l'applicazione delle norme di tale regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), dello stesso articolo, determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX del RGPD.
37. L'articolo 6, paragrafo 3, del RGPD prevede che la base su cui si fonda il trattamento dei dati previsto al paragrafo 1, lettere c) ed e), di detto articolo 6 sia stabilita, a seconda dei casi, dal diritto dell'Unione o dal diritto dello Stato membro cui è soggetto il titolare del trattamento. La base giuridica pertinente deve rispondere ad un obiettivo di interesse pubblico ed essere proporzionata all'obiettivo legittimo perseguito. Tale base giuridica può contenere anche disposizioni specifiche per adeguare l'applicazione delle norme del RGPD, come, in particolare, le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento o le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX del RGPD.
38. Va poi osservato che, in materia di accesso del pubblico ai documenti ufficiali, l'articolo 86 del RGPD, che appartiene al capo IX di quest'ultimo, prevede che i dati personali contenuti in documenti ufficiali in possesso di un'autorità pubblica o di un organismo pubblico o privato per l'esecuzione di un compito svolto nell'interesse pubblico possano essere comunicati da tale autorità o organismo conformemente al diritto dell'Unione o dello Stato membro cui l'autorità pubblica o l'organismo pubblico sono soggetti, al fine di conciliare il diritto d'accesso del pubblico ai documenti ufficiali e il diritto alla protezione dei dati personali.
39. Detto articolo va letto alla luce, in primo luogo, del considerando 4 del RGPD, il quale enuncia in particolare che il diritto alla protezione dei dati personali non è una prerogativa assoluta, in secondo luogo, del considerando 154 di tale regolamento, dal quale risulta, inter alia, che l'accesso del pubblico ai documenti ufficiali può essere considerato di interesse pubblico, nonché, in terzo luogo, della giurisprudenza secondo cui il principio di trasparenza, quale risulta dagli articoli 1 e 10 TUE nonché dall'articolo 15 TFUE, consente una migliore partecipazione dei cittadini al processo decisionale e garantisce una maggiore legittimità, efficienza e responsabilità dell'amministrazione nei confronti dei cittadini in un sistema democratico (sentenza del 22 novembre 2022, Luxembourg Business Registers, C‑37/20 e C‑601/20, EU:C:2022:912, punto 60 e giurisprudenza citata).
40. Sebbene, come risulta dal considerando 10 del RGPD, gli Stati membri debbano rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l'applicazione delle norme di tale regolamento, essi devono tuttavia avvalersi del loro margine di discrezionalità alle condizioni ed entro i limiti previsti dalle disposizioni di tale regolamento e devono dunque legiferare in modo da non pregiudicare il contenuto e gli obiettivi di quest'ultimo (v., in tal senso, sentenza del 30 marzo 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, punto 59 e giurisprudenza citata).
41. Inoltre, conformemente al principio di proporzionalità, gli Stati membri devono garantire che le conseguenze pratiche, segnatamente di ordine organizzativo, derivanti dagli ulteriori obblighi di cui tali Stati intendono imporre il rispetto, non siano eccessive (v., in tal senso, sentenza del 21 dicembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punto 67).
42. Nel caso di specie, il trattamento di cui trattasi nel procedimento principale può ricadere sia nel punto c) sia nel punto e) dell'articolo 6, paragrafo 1, del RGPD, in quanto è imposto al titolare del trattamento dalla legge n. 106/1999 nell'esecuzione di un compito di interesse pubblico consistente nel garantire l'accesso del pubblico ai documenti ufficiali. A tale riguardo, è pacifico che detta legge obbliga le autorità pubbliche a comunicare informazioni, inclusi documenti ufficiali, alle persone che le richiedono.
43. Detto questo, quando le informazioni richieste contengono dati personali, detta legge prevede che tali dati possano essere comunicati solo rispettando la normativa riguardante la loro protezione, la quale, come il giudice del rinvio fa osservare, include il RGPD. Dalla decisione di rinvio risulta che la giurisprudenza del giudice del rinvio enuncia obblighi complementari, i quali si aggiungono a quelli espressamente previsti da tale regolamento. Essa impone infatti alle pubbliche autorità di informare e di consultare l'interessato prima di procedere a qualsiasi comunicazione di tali dati.
44. Riguardo alla compatibilità di una giurisprudenza nazionale, come quella di cui trattasi nel procedimento principale, con il RGPD, si deve constatare che, in forza delle disposizioni richiamate ai punti 36 e 37 della presente sentenza, gli Stati membri possono introdurre disposizioni specifiche per garantire un trattamento lecito e corretto in situazioni specifiche di trattamento, quali quelle di cui all'articolo 86 del RGPD. A tale riguardo, una giurisprudenza siffatta può far parte della base giuridica del trattamento dei dati, ai sensi dell'articolo 6, paragrafo 3, del RGPD.
45. Di conseguenza, l'articolo 6, paragrafo 1, lettere c) ed e), del RGPD non osta, in linea di principio, a una giurisprudenza nazionale che prevede un obbligo di informazione e di consultazione dell'interessato prima di qualsiasi comunicazione di dati personali che lo riguardino. Infatti, un obbligo siffatto è idoneo a garantire un trattamento lecito, corretto e trasparente nei confronti di tale soggetto, ai sensi dell'articolo 5, paragrafo 1, lettera a), del RGPD, consentendogli di esprimere il suo parere riguardo alla comunicazione in questione. Tale obbligo contribuisce quindi alla realizzazione dell'obiettivo ricordato al punto 29 della presente sentenza, pur consentendo alla pubblica autorità di procedere, con piena consapevolezza, alla conciliazione richiesta dall'articolo 86 del RGPD.
46. Nondimeno, alla luce della giurisprudenza ricordata ai punti 40 e 41 della presente sentenza, un'attuazione assoluta di tale obbligo potrebbe dar luogo a una restrizione sproporzionata del diritto d'accesso del pubblico ai documenti ufficiali. Infatti, è immaginabile che, per diverse ragioni, l'informazione e/o la consultazione dell'interessato si rivelino impossibili o richiedano sforzi sproporzionati. In tale contesto, l'invocazione dell'impossibilità pratica di informare e di consultare tale soggetto per giustificare il rifiuto sistematico di qualsiasi comunicazione di informazioni relative a tale persona condurrebbe all'esclusione di qualsiasi tentativo di conciliazione degli interessi in conflitto, mentre tale conciliazione è espressamente prevista dall'articolo 86 del RGPD.
47. Nel caso di specie, con riserva di verifica da parte del giudice del rinvio, il Ministero della salute sembra aver basato la propria decisione di non comunicare l'insieme delle informazioni richieste su quest'unica impossibilità pratica, senza avere in alcun modo tentato di procedere alla conciliazione degli interessi.
48. Alla luce dell'insieme delle considerazioni che precedono, occorre rispondere alla seconda questione dichiarando che l'articolo 6, paragrafo 1, lettere c) ed e), del RGPD, in combinato disposto con l'articolo 86 di tale regolamento, dev'essere interpretato nel senso che esso non osta a una giurisprudenza nazionale secondo cui il titolare del trattamento, che è un'autorità pubblica incaricata di conciliare il diritto d'accesso del pubblico ai documenti ufficiali e il diritto alla protezione dei dati personali, è tenuto a informare e a consultare la persona fisica interessata prima della comunicazione dei documenti ufficiali che contengono tali dati, purché l'attuazione di un tale obbligo non sia impossibile o non richieda sforzi sproporzionati e, pertanto, non comporti restrizioni sproporzionate del diritto d'accesso del pubblico a detti documenti.
Sulle spese
49. Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
P.Q.M.
la Corte (Prima Sezione) dichiara:
1) L'articolo 4, punti 1 e 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), dev'essere interpretato nel senso che la comunicazione del nome, del cognome, della firma e dei dati di contatto di una persona fisica che rappresenta una persona giuridica costituisce trattamento di dati personali. La circostanza che tale comunicazione sia effettuata al solo scopo di consentire l'identificazione della persona fisica autorizzata ad agire a nome di detta persona giuridica è, a tale riguardo, irrilevante.
2) L'articolo 6, paragrafo 1, lettere c) ed e), del regolamento 2016/679, in combinato disposto con l'articolo 86 di tale regolamento, dev'essere interpretato nel senso che esso non osta a una giurisprudenza nazionale secondo cui il titolare del trattamento, che è un'autorità pubblica incaricata di conciliare il diritto d'accesso del pubblico ai documenti ufficiali e il diritto alla protezione dei dati personali, è tenuto a informare e a consultare la persona fisica interessata prima della comunicazione dei documenti ufficiali che contengono tali dati, purché l'attuazione di un tale obbligo non sia impossibile o non richieda sforzi sproporzionati e, pertanto, non comporti restrizioni sproporzionate del diritto d'accesso del pubblico a detti documenti.