La Corte di Giustizia europea ha stabilito che le agenzie private non possono conservare le informazioni relative alla concessione di un’esdebitazione più a lungo rispetto al registro pubblico dei fallimenti.
La sentenza è stata resa su ricorso di due cittadini tedeschi, ma i principi si applicano in tutto il territorio dell’Unione.
Indice degli argomenti
Scoring su persone fisiche: il caso
Due cittadini tedeschi avevano ottenuto un’esdebitazione anticipata sulla base di ordinanze giudiziarie pronunciate, rispettivamente, il 17 dicembre 2020 e il 23 marzo 2021; in linea con quanto previsto dal diritto tedesco, quindi, la pubblicazione ufficiale su Internet di tali decisioni è stata cancellata trascorsi sei mesi dalla data di adozione.
In questo contesto si colloca l’attività svolta da SCHUFA Holding, società che fornisce informazioni commerciali a terzi.
Per fornire il proprio servizio, SCHUFA registra e archivia, nelle proprie banche dati, informazioni provenienti da registri pubblici, in particolare informazioni relative alle esdebitazioni anticipate, conservando dette informazioni per tre anni dalla registrazione, conformemente al codice di condotta elaborato, in Germania, dall’associazione che riunisce le società che forniscono informazioni commerciali, e approvato dall’autorità di controllo competente.
Da qui l’iter che ha visto, prima, i cittadini tedeschi in questione chiedere a SCHUFA la cancellazione dei dati, per poi proporre reclamo al Garante tedesco in seguito al rifiuto ottenuto.
Il Garante tedesco ha ritenuto lecito il trattamento; la decisione del Garante, sul punto, è stata impugnata avanti al Tribunale amministrativo di Wiesbaden.
Qui le questioni pendenti erano, sostanzialmente, due: la prima relativa al diritto alla cancellazione nei termini di cui al codice dei fallimenti tedesco e la seconda relativa al diritto dei cittadini tedeschi di impugnare, nel merito, le statuizioni dell’Autorità garante.
Da qui il rinvio pregiudiziale del Tribunale amministrativo di Wiesbaden.
La sentenza: il diritto al “ricorso giurisdizionale effettivo”
La Corte di Giustizia ha “castigato” il Garante tedesco su tutta la linea.
In primo luogo, ha stabilito che i provvedimenti del Garante tedesco sono impugnabili nel merito ai sensi dell’articolo 78 del GDPR.
Di seguito, il passo più rilevante della decisione sul tema:
“Per quanto riguarda i termini dell’articolo 78, paragrafo 1, del RGPD, tale disposizione prevede che, fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda.
50. A tale proposito occorre anzitutto rilevare che, nel caso di specie, le decisioni adottate dall’HBDI costituiscono decisioni giuridicamente vincolanti, ai sensi di tale articolo 8, paragrafo 1. Infatti, dopo aver esaminato la fondatezza dei reclami dei quali era stata adita, tale autorità ha constatato che il trattamento dei dati personali contestato dai ricorrenti principali era lecito in forza del RGPD. Il carattere giuridicamente vincolante di tali decisioni è, peraltro, confermato dal considerando 143 di tale regolamento, secondo il quale il rifiuto o il rigetto di un reclamo da parte di un’autorità di controllo costituisce una decisione che produce effetti giuridici nei confronti del reclamante.
51. Occorre altresì rilevare che da tale disposizione, letta alla luce del considerando 141 di tale regolamento, risulta esplicitamente che ogni interessato ha il diritto a un ricorso giurisdizionale «effettivo», conformemente all’articolo 47 della Carta.
52. Pertanto, la Corte ha già dichiarato che dall’articolo 78, paragrafo 1, del RGPD, letto alla luce del considerando 143 di tale regolamento, discende che i giudici investiti di un ricorso avverso una decisione di un’autorità di controllo dovrebbero disporre della piena competenza e, in particolare, di quella a esaminare tutte le questioni di fatto e di diritto relative alla controversia ad essi sottoposta (sentenza del 12 gennaio 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punto 41).
53. Pertanto, l’articolo 78, paragrafo 1, del RGPD non può essere interpretato nel senso che il controllo giurisdizionale esercitato su una decisione su reclamo adottata da un’autorità di controllo si limiti alla questione se tale autorità abbia trattato il reclamo, indagato in modo adeguato sull’oggetto di quest’ultimo e informato il reclamante della conclusione dell’esame. Al contrario, affinché un ricorso giurisdizionale sia «effettivo», come richiesto da tale disposizione, una siffatta decisione deve essere sottoposta ad un sindacato giurisdizionale completo.
54. Tale interpretazione è corroborata dal contesto in cui si inserisce l’articolo 78, paragrafo 1, del RGPD, nonché dagli obiettivi e dalla finalità perseguiti da tale regolamento”.
In altri termini, l’interpretazione del Garante tedesco in tema di “ricorso giurisdizionale effettivo” era del tutto infondata.
La durata della data retention
Qui la Corte di giustizia è partita da lontano, valutando, in primo luogo, la liceità del trattamento da parte di SCHUFA in termini di legittimo interesse del titolare.
Effettuata questa ricostruzione, la Corte ha valutato la liceità del trattamento alla luce della diversità di termini previsti dalla legge tedesca e dal codice di condotta invocato da SCHUFA.
Il passo più rilevante della motivazione, sul punto, è il seguente:
“Per quanto riguarda il periodo di sei mesi nel corso del quale i dati in questione sono parimenti disponibili in tale registro pubblico, occorre rilevare che, sebbene gli effetti di una conservazione parallela di tali dati nelle banche dati di siffatte società possano essere considerati meno gravi che dopo il decorso dei sei mesi, tale conservazione costituisce nondimeno un’ingerenza nei diritti sanciti agli articoli 7 e 8 della Carta. A tal riguardo, la Corte ha già dichiarato che la presenza degli stessi dati personali in più fonti rafforza l’ingerenza nel diritto della persona alla vita privata (v. sentenza del 13 maggio 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, punti 86 e 87). Spetta al giudice del rinvio ponderare gli interessi in gioco e gli effetti sull’interessato, al fine di stabilire se la conservazione parallela di tali dati da parte di società che forniscono informazioni commerciali possa essere considerata limitata allo stretto necessario, come richiesto dalla giurisprudenza della Corte, citata al punto 88 della presente sentenza.
101. Infine, per quanto riguarda l’esistenza, come nel caso di specie, di un codice di condotta che prevede che una società che fornisce informazioni commerciali debba cancellare i dati relativi a un’esdebitazione alla scadenza di un termine di tre anni, occorre ricordare che, conformemente all’articolo 40, paragrafi 1 e 2, del RGPD, i codici di condotta sono destinati a contribuire alla corretta applicazione di tale regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese. Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare le modalità di applicazione di tale regolamento, quali, in particolare, il trattamento corretto e trasparente, i legittimi interessi perseguiti dai responsabili del trattamento in contesti specifici e la raccolta dei dati personali”.
Sul punto, quindi, starà al giudice tedesco decidere se il trattamento successivo ai sei mesi fosse, o meno, lecito, sulla base del diritto nazionale, tenendo però conti delle coordinate ermeneutiche fornite dalla CGE stessa.
Sull’applicabilità al caso di specie dell’articolo 17 del GDPR – diritto alla cancellazione, la Corte ha coerentemente concluso nei termini che seguono:
“A tal riguardo, occorre ricordare che, conformemente all’articolo 17, paragrafo 1, lettera d), del RGPD, al quale fa riferimento il giudice del rinvio, l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione, senza ingiustificato ritardo, dei dati personali che lo riguardano e il titolare del trattamento ha l’obbligo di cancellare tali dati personali senza ingiustificato ritardo, qualora i dati personali siano stati trattati illecitamente.
108. Pertanto, secondo la chiara formulazione di tale disposizione, nell’ipotesi in cui il giudice del rinvio dovesse concludere, al termine della sua valutazione sulla liceità del trattamento di dati personali esaminato in via principale, che tale trattamento non è lecito, spetterebbe al responsabile del trattamento, nella fattispecie la SCHUFA, cancellare i dati interessati quanto prima. Ciò si verificherebbe, conformemente a quanto constatato al punto 99 della presente sentenza, nel caso di un trattamento dei dati personali effettuato oltre il termine di conservazione dei dati di sei mesi nel registro pubblico fallimentare”.
Conclusioni
La sentenza avrà più rilevanza in Germania che nel territorio dell’Unione, ma alcuni dati sono chiari.
In primo luogo, il ricorso a un ricorso giurisdizionale effettivo implica la valutazione nel merito dei provvedimenti delle autorità garanti.
In secondo luogo, il trattamento di dati finanziari in generale prevede regole strette nelle ipotesi in cui venga effettuato per fornire informazioni a terzi e si basi, quindi, sul legittimo interesse del titolare.
I codici di condotta, infine, possono specificare i termini di applicazione delle normative, ma non derogarvi.
In questi termini, la sentenza è di un certo interesse sia applicativo che scientifico.
