TUTELA DEI DATI PERSONALI
Corte di Giustizia UE: anche un ente privo di personalità giuridica può essere un Titolare del trattamento ai sensi dell’articolo 4, n. 7 del GDPR.
La Corte di giustizia dell’Unione Europea (CGUE) ha stabilito, con la sentenza del 27 febbraio 2025 nella causa C-638/23, che anche un servizio privo di personalità giuridica può essere considerato titolare del trattamento dei dati personali. La decisione ha chiarito un aspetto interpretativo relativo all’articolo 4, punto 7, del Regolamento Generale sulla Protezione dei Dati (GDPR).
Il pronunciamento della CGUE è nato da una vicenda avvenuta in Austria, in cui un’unità amministrativa di supporto a un governo regionale ha inviato lettere di sollecito alla vaccinazione anti-Covid a tutti i maggiorenni non ancora vaccinati residenti in un determinato Land. Tuttavia, per svolgere questa attività, è stata consultata una banca dati senza autorizzazione, violando così il GDPR.
Uno dei destinatari ha segnalato l’accaduto all’Autorità austriaca per la protezione dei dati, che ha avviato un’indagine e dichiarato illegittima la condotta dell’ufficio responsabile della comunicazione. Quest’ultimo ha impugnato la decisione, sostenendo di non poter essere considerato titolare del trattamento poiché il governatore del Land aveva approvato l’invio delle lettere.
Il nodo principale della questione riguardava l’individuazione del titolare del trattamento. L’ufficio coinvolto nell’invio della comunicazione operava sotto il controllo del governatore regionale, il quale ne aveva approvato l’iniziativa. Tuttavia, la normativa nazionale riconosceva esplicitamente tale entità come titolare del trattamento, pur senza definirne nel dettaglio le modalità operative e gli scopi del trattamento stesso.
Di fronte a questo scenario, il tribunale austriaco ha chiesto alla CGUE di fornire un’interpretazione dell’articolo 4, punto 7, del GDPR, che include tra i possibili titolari anche “servizi o altri organismi”. La richiesta mirava a chiarire se potessero rientrarvi anche unità amministrative prive di personalità giuridica e autonomia decisionale.
La Corte ha confermato che un’entità amministrativa ausiliaria, pur priva di personalità e capacità giuridica autonoma, può essere qualificata come titolare del trattamento. Questa condizione è valida anche nel caso in cui la normativa di riferimento non specifichi in modo dettagliato le operazioni di trattamento e i relativi obiettivi, a patto che siano soddisfatti due requisiti fondamentali:
l’entità deve essere strutturata in modo da poter adempiere agli obblighi previsti dal GDPR.
la legge che la designa deve implicare, almeno in maniera indiretta, l’ambito del trattamento dei dati di cui è responsabile.
Inoltre, la CGUE ha sottolineato che quando una normativa attribuisce a una determinata entità il ruolo di titolare del trattamento, tale qualifica non può essere messa in discussione, anche se l’entità non esercita un controllo diretto sui dati trattati né sulle finalità del trattamento.
Questa pronuncia assume particolare rilevanza poiché il principio stabilito potrebbe essere utilizzato dai legislatori nazionali per sfruttare la possibilità, prevista dall’articolo 4, punto 7, secondo periodo, del GDPR, di suddividere e distribuire gli obblighi e le responsabilità in materia di protezione dei dati tra diverse unità organizzative dello stesso ente o tra strutture appositamente create per la gestione dei trattamenti.
Il pronunciamento della CGUE è nato da una vicenda avvenuta in Austria, in cui un’unità amministrativa di supporto a un governo regionale ha inviato lettere di sollecito alla vaccinazione anti-Covid a tutti i maggiorenni non ancora vaccinati residenti in un determinato Land. Tuttavia, per svolgere questa attività, è stata consultata una banca dati senza autorizzazione, violando così il GDPR.
Uno dei destinatari ha segnalato l’accaduto all’Autorità austriaca per la protezione dei dati, che ha avviato un’indagine e dichiarato illegittima la condotta dell’ufficio responsabile della comunicazione. Quest’ultimo ha impugnato la decisione, sostenendo di non poter essere considerato titolare del trattamento poiché il governatore del Land aveva approvato l’invio delle lettere.
Il nodo principale della questione riguardava l’individuazione del titolare del trattamento. L’ufficio coinvolto nell’invio della comunicazione operava sotto il controllo del governatore regionale, il quale ne aveva approvato l’iniziativa. Tuttavia, la normativa nazionale riconosceva esplicitamente tale entità come titolare del trattamento, pur senza definirne nel dettaglio le modalità operative e gli scopi del trattamento stesso.
Di fronte a questo scenario, il tribunale austriaco ha chiesto alla CGUE di fornire un’interpretazione dell’articolo 4, punto 7, del GDPR, che include tra i possibili titolari anche “servizi o altri organismi”. La richiesta mirava a chiarire se potessero rientrarvi anche unità amministrative prive di personalità giuridica e autonomia decisionale.
La Corte ha confermato che un’entità amministrativa ausiliaria, pur priva di personalità e capacità giuridica autonoma, può essere qualificata come titolare del trattamento. Questa condizione è valida anche nel caso in cui la normativa di riferimento non specifichi in modo dettagliato le operazioni di trattamento e i relativi obiettivi, a patto che siano soddisfatti due requisiti fondamentali:
l’entità deve essere strutturata in modo da poter adempiere agli obblighi previsti dal GDPR.
la legge che la designa deve implicare, almeno in maniera indiretta, l’ambito del trattamento dei dati di cui è responsabile.
Inoltre, la CGUE ha sottolineato che quando una normativa attribuisce a una determinata entità il ruolo di titolare del trattamento, tale qualifica non può essere messa in discussione, anche se l’entità non esercita un controllo diretto sui dati trattati né sulle finalità del trattamento.
Questa pronuncia assume particolare rilevanza poiché il principio stabilito potrebbe essere utilizzato dai legislatori nazionali per sfruttare la possibilità, prevista dall’articolo 4, punto 7, secondo periodo, del GDPR, di suddividere e distribuire gli obblighi e le responsabilità in materia di protezione dei dati tra diverse unità organizzative dello stesso ente o tra strutture appositamente create per la gestione dei trattamenti.
