TUTELA DEI DATI PERSONALI
Corte di Giustizia UE: condizioni per esercitare il diritto di cancellare i dati personali dal Registro delle Imprese detenuto da uno Stato Membro e per richiedere il risarcimento del danno morale in caso di diniego.
La Corte di giustizia dell'Unione europea (CGUE) ha pubblicato la sentenza nella causa C-200/23, relativa al rifiuto dell'Agentsia po vpisvaniyata (Il Registro delle Imprese bulgaro) di cancellare alcuni dati personali relativi a una persona fisica contenuti in un contratto di partenariato pubblicato nel registro delle imprese ai sensi del Regolamento generale sulla protezione dei dati (GDPR).
Il caso: la persona fisica era socio di una società a responsabilità limitata di diritto bulgaro. L'8 luglio 2021, l'interessato ha chiesto all'Agenzia di cancellare i dati personali che lo riguardano contenuti nel suddetto accordo di partenariato, specificando che intendeva revocare il proprio consenso. In assenza di risposta da parte dell'Agenzia, l'interessato ha adito il Tribunale amministrativo di Dobrich, che ha annullato il rifiuto implicito dell'Agenzia di cancellare i dati e ha rinviato il caso all'Agenzia per una nuova decisione. Con una lettera, l'Agenzia ha fornito una copia autenticata dell'accordo di partenariato in questione, che nascondeva i dati personali dell'individuo, salvo quanto previsto dalla legge. La persona ha fatto nuovamente ricorso al Tribunale amministrativo chiedendo che la lettera fosse annullata e che l'Agenzia fosse condannata a risarcirle il danno non patrimoniale della lettera, che violava i suoi diritti ai sensi del GDPR. Il Tribunale amministrativo ha annullato la lettera e ha ordinato all'Agenzia di risarcire la persona per il danno non patrimoniale, ai sensi dell'articolo 82 del GDPR. L'Agenzia ha presentato ricorso alla Corte amministrativa suprema, che ha successivamente rinviato il caso alla CGUE.
La CGUE ha ritenuto, tra l'altro, che la direttiva 2017/1132 debba essere interpretata nel senso che non impone a uno Stato membro l'obbligo di autorizzare la pubblicazione, nel registro delle imprese, di un contratto aziendale soggetto all'obbligo di pubblicazione della direttiva e contenente dati personali diversi da quelli minimi richiesti, la cui pubblicazione non è prescritta dalla legislazione di tale Stato membro.
Inoltre, la CGUE ha ritenuto che l'articolo 4, paragrafi 7 e 9, del GDPR debba essere interpretato nel senso che l'autorità che tiene il registro delle imprese di uno Stato membro e che pubblica in tale registro i dati personali contenuti in un contratto di società soggetto all'obbligo di pubblicazione previsto dalla direttiva, che le sono stati trasmessi nel contesto di una domanda di registrazione da parte della società, è allo stesso tempo il destinatario dei dati e, in particolare nella misura in cui li mette a disposizione del pubblico, il responsabile del trattamento di tali dati, anche se tale contratto contiene dati personali non richiesti dalla direttiva o dalla legge di tale Stato membro.
Inoltre, la CGUE ha affermato che l'articolo 82, paragrafo 1, del GDPR deve essere interpretato nel senso che la perdita di controllo per un periodo limitato da parte dell'interessato sui propri dati personali, dovuta alla messa a disposizione del pubblico di tali dati online nel registro delle imprese di uno Stato membro, può essere sufficiente a causare un “danno morale”, a condizione che l'interessato dimostri di aver effettivamente subito tale danno, per quanto minimo, senza che la nozione di “danno morale” richieda la dimostrazione dell'esistenza di ulteriori conseguenze negative tangibili.
Il caso: la persona fisica era socio di una società a responsabilità limitata di diritto bulgaro. L'8 luglio 2021, l'interessato ha chiesto all'Agenzia di cancellare i dati personali che lo riguardano contenuti nel suddetto accordo di partenariato, specificando che intendeva revocare il proprio consenso. In assenza di risposta da parte dell'Agenzia, l'interessato ha adito il Tribunale amministrativo di Dobrich, che ha annullato il rifiuto implicito dell'Agenzia di cancellare i dati e ha rinviato il caso all'Agenzia per una nuova decisione. Con una lettera, l'Agenzia ha fornito una copia autenticata dell'accordo di partenariato in questione, che nascondeva i dati personali dell'individuo, salvo quanto previsto dalla legge. La persona ha fatto nuovamente ricorso al Tribunale amministrativo chiedendo che la lettera fosse annullata e che l'Agenzia fosse condannata a risarcirle il danno non patrimoniale della lettera, che violava i suoi diritti ai sensi del GDPR. Il Tribunale amministrativo ha annullato la lettera e ha ordinato all'Agenzia di risarcire la persona per il danno non patrimoniale, ai sensi dell'articolo 82 del GDPR. L'Agenzia ha presentato ricorso alla Corte amministrativa suprema, che ha successivamente rinviato il caso alla CGUE.
La CGUE ha ritenuto, tra l'altro, che la direttiva 2017/1132 debba essere interpretata nel senso che non impone a uno Stato membro l'obbligo di autorizzare la pubblicazione, nel registro delle imprese, di un contratto aziendale soggetto all'obbligo di pubblicazione della direttiva e contenente dati personali diversi da quelli minimi richiesti, la cui pubblicazione non è prescritta dalla legislazione di tale Stato membro.
Inoltre, la CGUE ha ritenuto che l'articolo 4, paragrafi 7 e 9, del GDPR debba essere interpretato nel senso che l'autorità che tiene il registro delle imprese di uno Stato membro e che pubblica in tale registro i dati personali contenuti in un contratto di società soggetto all'obbligo di pubblicazione previsto dalla direttiva, che le sono stati trasmessi nel contesto di una domanda di registrazione da parte della società, è allo stesso tempo il destinatario dei dati e, in particolare nella misura in cui li mette a disposizione del pubblico, il responsabile del trattamento di tali dati, anche se tale contratto contiene dati personali non richiesti dalla direttiva o dalla legge di tale Stato membro.
Inoltre, la CGUE ha affermato che l'articolo 82, paragrafo 1, del GDPR deve essere interpretato nel senso che la perdita di controllo per un periodo limitato da parte dell'interessato sui propri dati personali, dovuta alla messa a disposizione del pubblico di tali dati online nel registro delle imprese di uno Stato membro, può essere sufficiente a causare un “danno morale”, a condizione che l'interessato dimostri di aver effettivamente subito tale danno, per quanto minimo, senza che la nozione di “danno morale” richieda la dimostrazione dell'esistenza di ulteriori conseguenze negative tangibili.
