Con sentenza del 27 febbraio 2025, la Corte di Giustizia dell’Unione Europea (“Corte”) si pronuncia nella causa C-638/23 sulla questione pregiudiziale ad essa sottoposta dalla Corte Amministrativa austriaca e riguardante il procedimento dell’Ufficio del governo del Land Tirolo contro l’Autorità per la protezione dei dati austriaca. La Corte stabilisce che la definizione di “titolare del trattamento”, di cui all’art. 4, par. 1, n. 7 del GDPR non impedisce a uno stato membro di qualificare come tale un’autorità amministrativa ausiliaria seppur priva di personalità giuridica e di capacità giuridica.
I fatti all’origine della causa
Il procedimento trae impulso da una questione riguardante l’illecito trattamento dei dati personali di una persona fisica da parte dell’Ufficio del governo del Land Tirolo. I fatti risalgono al 2021, nel pieno della diffusione della pandemia da COVID-19. L’autorità amministrativa ausiliaria al servizio del governatore e del governo del Land Tirolo aveva inviato una “lettera di promemoria” per la vaccinazione a tutte le persone maggiorenni ivi residenti che non si erano ancora vaccinate. Al fine di individuare i destinatari di tali lettere, l’Ufficio del governo aveva incaricato due imprese private, che avevano incrociato i dati riportati nell’anagrafe centrale vaccini, nel quale era indicato altresì l’indirizzo di residenza. Uno dei destinatari, in data 21 dicembre 2021, presentava all’Autorità per la protezione dei dati personali austriaca un reclamo contro l’Ufficio per trattamento illecito dei propri dati personali. L’Ufficio affermava non solo di essere “titolare del trattamento” ma anche di essere l’ente che aveva dato impulso all’invio della lettera. Con decisione del 22 agosto 2022, l’Autorità contestava all’Ufficio la violazione delle norme in tema di protezione dei dati personali, perché non legittimato ad accedere all’anagrafe centrale vaccini. A fronte dell’impugnazione dell’Ufficio, il giudizio giungeva innanzi alla Corte Amministrativa austriaca, la quale sceglieva di rimettere la questione circa la qualificazione del ruolo dell’Ufficio innanzi alla Corte.
La questione pregiudiziale.
In buona sostanza, il giudice del rinvio chiedeva se l’art 4, par. 1, punto 7 del GDPR dovesse essere interpretato nel senso che osti ad una normativa nazionale che designa, quale titolare del trattamento, un’entità amministrativa ausiliaria priva di personalità giuridica, senza precisare quali siano le operazioni di trattamento di dati personali di cui tale ente è titolare e la finalità di tali operazioni. La Corte ha stabilito che, dalla chiara formulazione dell’articolo in parola, risulta che un titolare del trattamento può essere non solo una persona fisica o giuridica, ma anche un’autorità pubblica, un servizio o un organismo, non necessariamente dotati di personalità giuridica in funzione del diritto nazionale. La Corte ha aggiunto che il titolare del trattamento deve essere in grado di rispondere, in fatto e in diritto, agli obblighi previsti a suo carico dalla normativa in tema di protezione dei dati personali, non rilevando il fatto che possegga o meno personalità giuridica e capacità giuridica. La Corte ha evidenziato che quando il diritto nazionale designa un’entità quale titolare del trattamento, la determinazione delle finalità e dei mezzi del trattamento può essere implicita, a condizione che tale determinazione derivi in modo sufficiente dal ruolo, dalle funzioni e dalle attribuzioni demandate all’entità. Nel caso di specie, spetta al giudice del rinvio verificare, da un lato, se il trattamento di dati personali effettuato dall’Ufficio ai fini della preparazione e dell’invio delle “lettere di promemoria per la vaccinazione” sia compatibile con le finalità alle quali risponde il trattamento operato dall’Ufficio; dall’altro, i mezzi che lo stesso Ufficio può attuare per le predette finalità.
Conclusioni
La Corte ha, dunque, concluso che l’art. 4, par. 1, n. 7 del GDPR non impedisce a uno Stato membro di designare come titolare del trattamento un’entità amministrativa ausiliaria priva di personalità giuridica, senza precisare, concretamente, le operazioni specifiche di trattamento di dati personali di cui tale entità è titolare e le finalità di tali operazioni. Tuttavia, è necessario che siano soddisfatte due condizioni: da un lato, l’entità deve rispondere, conformemente alla normativa nazionale di cui si tratta, agli obblighi esistenti in capo a un titolare del trattamento nei riguardi degli interessati per quel che concerne la tutela dei dati personali; dall’altro, la normativa nazionale deve stabilire, almeno implicitamente, la portata del trattamento di cui tale entità è titolare.
Avv. Rossella Bucca e Dott.ssa Giusy Mazzilli
