SENTENZA DELLA CORTE (Grande
Sezione)
22
giugno 2021 (*)
«Rinvio
pregiudiziale – Protezione delle persone fisiche con riguardo al
trattamento dei dati personali – Regolamento (UE) 2016/679 – Articoli
5, 6 e 10 – Normativa nazionale che prevede l’accesso del pubblico ai dati
personali relativi ai punti di penalità inflitti in caso di infrazioni
stradali – Liceità – Nozione di “dati personali relativi a condanne
penali e reati” – Divulgazione al fine di migliorare la sicurezza
stradale – Diritto di accesso del pubblico ai documenti ufficiali –
Libertà d’informazione – Conciliazione con i diritti fondamentali al
rispetto della vita privata e alla protezione dei diritti personali –
Riutilizzo dei dati – Articolo 267 TFUE – Effetti nel tempo di
una pronuncia pregiudiziale – Possibilità per un giudice costituzionale di
uno Stato membro di mantenere gli effetti giuridici di una normativa nazionale
non compatibile con il diritto dell’Unione – Principi del primato del
diritto dell’Unione e della certezza del diritto»
Nella
causa C‑439/19,
avente
ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi
dell’articolo 267 TFUE, dalla Latvijas Republikas Satversmes tiesa (Corte
costituzionale, Lettonia), con decisione del 4 giugno 2019, pervenuta in
cancelleria l’11 giugno 2019, nel procedimento promosso da
B
con
l’intervento di:
Latvijas
Republikas Saeima,
LA CORTE
(Grande Sezione),
composta
da K. Lenaerts, presidente, R. Silva de Lapuerta, vicepresidente, J.‑C. Bonichot,
A. Arabadjiev, E. Regan, M. Ilešič (relatore) e
N. Piçarra, presidenti di sezione, E. Juhász, M. Safjan,
D. Šváby, S. Rodin, F. Biltgen, K. Jürimäe,
C. Lycourgos e P.G. Xuereb, giudici,
avvocato
generale: M. Szpunar
cancelliere:
A. Calot Escobar
vista la
fase scritta del procedimento,
considerate
le osservazioni presentate:
– per
il governo lettone, inizialmente da V. Soņeca e K. Pommere,
successivamente da K. Pommere, in qualità di agenti;
– per
il governo dei Paesi Bassi, da M.K. Bulterman e M. Noort, in qualità
di agenti;
– per
il governo austriaco, da J. Schmoll e G. Kunnert, in qualità di
agenti;
– per
il governo portoghese, da L. Inez Fernandes, P. Barros da Costa,
A.C. Guerra e I. Oliveira, in qualità di agenti;
– per
il governo svedese, da C. Meyer-Seitz, H. Shev, H. Eklinder,
R. Shahsavan Eriksson, A. Runeskjöld,
M. Salborn Hodgson, O. Simonsson e J. Lundberg,, in qualità
di agenti;
– per
la Commissione europea, da D. Nardi, H. Kranenborg e I. Rubene,
in qualità di agenti,
sentite
le conclusioni dell’avvocato generale, presentate all’udienza del 17 dicembre
2020,
ha
pronunciato la seguente
Sentenza
1 La
domanda di pronuncia pregiudiziale verte sull’interpretazione degli articoli 5,
6 e 10 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio,
del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo
al trattamento dei dati personali, nonché alla libera circolazione di tali dati
e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei
dati) (GU 2016, L119, pag. 1; in prosieguo: il «RGPD»), dell’articolo 1,
paragrafo 2, lettera c quater), della direttiva 2003/98/CE del Parlamento
europeo e del Consiglio, del 17 novembre 2003, relativa al riutilizzo
dell’informazione del settore pubblico (GU 2003, L 345, pag. 90),
come modificata dalla direttiva 2013/37/UE del Parlamento europeo e del Consiglio,
del 26 giugno 2013 (GU 2013, L 175, pag. 1) (in prosieguo: la
«direttiva 2003/98»), nonché dei principi del primato del diritto dell’Unione e
della certezza del diritto.
2 Tale
domanda è stata presentata nell’ambito di un procedimento promosso da B
relativamente alla legittimità di una normativa nazionale che prevede l’accesso
del pubblico ai dati personali riguardanti i punti di penalità inflitti per
infrazioni stradali.
Contesto
normativo
Diritto
dell’Unione
Direttiva
95/46/CE
3 La
direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995,
relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati
personali, nonché alla libera circolazione di tali dati (GU 1995, L 281,
pag. 31) è stata abrogata, con effetto a decorrere dal 25 maggio 2018, dal
RGPD. L’articolo 3 di tale direttiva, intitolato «Campo d’applicazione», era
così formulato:
«1. Le
disposizioni della presente direttiva si applicano al trattamento di dati
personali interamente o parzialmente automatizzato nonché al trattamento non
automatizzato di dati personali contenuti o destinati a figurare negli archivi.
2. Le
disposizioni della presente direttiva non si applicano ai trattamenti di dati
personali[:]
– effettuati
per l’esercizio di attività che non rientrano nel campo di applicazione del
diritto comunitario, come quelle previste dai titoli V e VI del
trattato [UE, nella versione anteriore al Trattato di Lisbona] e comunque ai
trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza
dello Stato (compreso il benessere economico dello Stato, laddove tali
trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività
dello Stato in materia di diritto penale;
(…)».
RGPD
4 I
considerando 1, 4, 10, 16, 19, 39, 50 e 154 del RGPD così recitano:
«(1) La
protezione delle persone fisiche con riguardo al trattamento dei dati di
carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della
Carta dei diritti fondamentali dell’Unione europea (“Carta”) e l’articolo 16,
paragrafo 1, [TFUE] stabiliscono che ogni persona ha diritto alla protezione
dei dati di carattere personale che la riguardano.
(...)
(4) Il
trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il
diritto alla protezione dei dati di carattere personale non è una prerogativa
assoluta, ma va considerato alla luce della sua funzione sociale e va
contemperato con altri diritti fondamentali, in ossequio al principio di
proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali
e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai
trattati, in particolare il rispetto della vita privata e familiare, del
domicilio e delle comunicazioni, la protezione dei dati personali, la libertà
di pensiero, di coscienza e di religione, la libertà di espressione e
d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un
giudice imparziale, nonché la diversità culturale, religiosa e linguistica.
(...)
(10) Al fine di
assicurare un livello coerente ed elevato di protezione delle persone fisiche e
rimuovere gli ostacoli alla circolazione dei dati personali all’interno
dell’Unione, il livello di protezione dei diritti e delle libertà delle persone
fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in
tutti gli Stati membri. È opportuno assicurare un’applicazione coerente e
omogenea delle norme a protezione dei diritti e delle libertà fondamentali
delle persone fisiche con riguardo al trattamento dei dati personali in tutta
l’Unione. (...)
(...)
(16) Il presente
regolamento non si applica a questioni di tutela dei diritti e delle libertà
fondamentali o di libera circolazione dei dati personali riferite ad attività
che non rientrano nell’ambito di applicazione del diritto dell’Unione, quali le
attività riguardanti la sicurezza nazionale. Il presente regolamento non si
applica al trattamento dei dati personali effettuato dagli Stati membri
nell’esercizio di attività relative alla politica estera e di sicurezza comune
dell’Unione.
(...)
(19) La
protezione delle persone fisiche con riguardo al trattamento dei dati personali
da parte delle autorità competenti a fini di prevenzione, indagine,
accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse
la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, e
la libera circolazione di tali dati sono oggetto di uno specifico atto
dell’Unione. Il presente regolamento non dovrebbe pertanto applicarsi ai
trattamenti effettuati per tali finalità. I dati personali trattati dalle
autorità pubbliche in forza del presente regolamento, quando utilizzati per
tali finalità, dovrebbero invece essere disciplinati da un più specifico atto
dell’Unione, segnatamente la direttiva (UE) 2016/680 del Parlamento europeo e
del Consiglio[,del 27 aprile 2016, relativa alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali da parte delle autorità
competenti a fini di prevenzione, indagine, accertamento e perseguimento di
reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali
dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU 2016,
L 119, pag. 89)]. (...)
(...)
(39) (...) In
particolare, le finalità specifiche del trattamento dei dati personali
dovrebbero essere esplicite e legittime e precisate al momento della raccolta
di detti dati personali. (…) I dati personali dovrebbero essere trattati solo
se la finalità del trattamento non è ragionevolmente conseguibile con altri
mezzi. (...)
(...)
(50) Il
trattamento dei dati personali per finalità diverse da quelle per le quali i
dati personali sono stati inizialmente raccolti dovrebbe essere consentito solo
se compatibile con le finalità per le quali i dati personali sono stati
inizialmente raccolti. In tal caso non è richiesta alcuna base giuridica
separata oltre a quella che ha consentito la raccolta dei dati personali. Se il
trattamento è necessario per l’esecuzione di un compito di interesse pubblico o
per l’esercizio di pubblici poteri di cui è investito il titolare del
trattamento, il diritto dell’Unione o degli Stati membri può stabilire e
precisare le finalità e i compiti per i quali l’ulteriore trattamento è
considerato lecito e compatibile. (...)
(...)
(154) Il
presente regolamento ammette, nell’applicazione delle sue disposizioni, che si
tenga conto del principio del pubblico accesso ai documenti ufficiali.
L’accesso del pubblico ai documenti ufficiali può essere considerato di
interesse pubblico. I dati personali contenuti in documenti conservati da
un’autorità pubblica o da un organismo pubblico dovrebbero poter essere diffusi
da detta autorità o organismo se la diffusione è prevista dal diritto
dell’Unione o degli Stati membri cui l’autorità pubblica o l’organismo pubblico
sono soggetti. Tali disposizioni legislative dovrebbero conciliare l’accesso
del pubblico ai documenti ufficiali e il riutilizzo delle informazioni del
settore pubblico con il diritto alla protezione dei dati personali e possono
quindi prevedere la necessaria conciliazione con il diritto alla protezione dei
dati personali, in conformità del presente regolamento. Il riferimento alle
autorità pubbliche e agli organismi pubblici dovrebbe comprendere, in tale contesto,
tutte le autorità o altri organismi cui si applica il diritto degli Stati
membri sull’accesso del pubblico ai documenti. La direttiva [2003/98/CE] non
pregiudica in alcun modo il livello di tutela delle persone fisiche con
riguardo al trattamento dei dati personali ai sensi delle disposizioni di
diritto dell’Unione e degli Stati membri e non modifica, in particolare, gli
obblighi e i diritti previsti dal presente regolamento. Nello specifico, tale
direttiva non dovrebbe applicarsi ai documenti il cui accesso è escluso o
limitato in virtù dei regimi di accesso per motivi di protezione dei dati
personali, e a parti di documenti accessibili in virtù di tali regimi che
contengono dati personali il cui riutilizzo è stato previsto per legge come
incompatibile con la normativa in materia di tutela delle persone fisiche con
riguardo al trattamento dei dati personali».
5 L’articolo
1 di tale regolamento, intitolato «Oggetto e finalità», dispone quanto segue:
«1. Il
presente regolamento stabilisce norme relative alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonché norme relative
alla libera circolazione di tali dati.
2. Il
presente regolamento protegge i diritti e le libertà fondamentali delle persone
fisiche, in particolare il diritto alla protezione dei dati personali.
3. La
libera circolazione dei dati personali nell’Unione non può essere limitata né
vietata per motivi attinenti alla protezione delle persone fisiche con riguardo
al trattamento dei dati personali».
6 L’articolo
2 del suddetto regolamento, intitolato «Ambito di applicazione materiale», ai
paragrafi 1 e 2 così prevede:
«1. Il
presente regolamento si applica al trattamento interamente o parzialmente
automatizzato di dati personali e al trattamento non automatizzato di dati
personali contenuti in un archivio o destinati a figurarvi.
2. Il
presente regolamento non si applica ai trattamenti di dati personali:
a) effettuati
per attività che non rientrano nell’ambito di applicazione del diritto
dell’Unione;
b) effettuati
dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di
applicazione del titolo V, capo 2, TUE;
c) effettuati da
una persona fisica per l’esercizio di attività a carattere esclusivamente
personale o domestico;
d) effettuati
dalle autorità competenti a fini di prevenzione, indagine, accertamento o
perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia
contro minacce alla sicurezza pubblica e la prevenzione delle stesse».
7 Ai
sensi dell’articolo 4 del medesimo regolamento, intitolato «Definizioni»:
«Ai fini del presente regolamento s’intende per:
1) “dato
personale”: qualsiasi informazione riguardante una persona fisica identificata
o identificabile (...);
2) “trattamento”:
qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di
processi automatizzati e applicate a dati personali o insiemi di dati
personali, come la raccolta, la registrazione, l’organizzazione, la
strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la
consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o
qualsiasi altra forma di messa a disposizione, il raffronto o
l’interconnessione, la limitazione, la cancellazione o la distruzione;
(...)
7) “titolare del
trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o
altro organismo che, singolarmente o insieme ad altri, determina le finalità e
i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale
trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il
titolare del trattamento o i criteri specifici applicabili alla sua
designazione possono essere stabiliti dal diritto dell’Unione o degli Stati
membri;
(...)».
8 L’articolo
5 del medesimo regolamento, intitolato «Principi applicabili al trattamento di
dati personali», enuncia quanto segue:
«1. I
dati personali sono:
a) trattati in
modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità,
correttezza e trasparenza”);
b) raccolti per
finalità determinate, esplicite e legittime, e successivamente trattati in modo
che non sia incompatibile con tali finalità; (…) (“limitazione della
finalità”);
c) adeguati,
pertinenti e limitati a quanto necessario rispetto alle finalità per le quali
sono trattati (“minimizzazione dei dati”);
d) esatti e, se
necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per
cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità
per le quali sono trattati (“esattezza”);
e) conservati in
una forma che consenta l’identificazione degli interessati per un arco di tempo
non superiore al conseguimento delle finalità per le quali sono trattati; (…)
(“limitazione della conservazione”);
f) trattati in
maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione,
mediante misure tecniche e organizzative adeguate, da trattamenti non
autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno
accidentali (“integrità e riservatezza”).
2. Il
titolare del trattamento è competente per il rispetto del paragrafo 1 e in
grado di comprovarlo (“responsabilizzazione”)».
9 L’articolo
6 del suddetto regolamento, intitolato «Liceità del trattamento», al paragrafo
1 così prevede:
«Il
trattamento è lecito solo se e nella misura in cui ricorre almeno una delle
seguenti condizioni:
a) l’interessato
ha espresso il consenso al trattamento dei propri dati personali per una o più
specifiche finalità;
b) il
trattamento è necessario all’esecuzione di un contratto di cui l’interessato è
parte o all’esecuzione di misure precontrattuali adottate su richiesta dello
stesso;
c) il
trattamento è necessario per adempiere un obbligo legale al quale è soggetto il
titolare del trattamento;
d) il
trattamento è necessario per la salvaguardia degli interessi vitali
dell’interessato o di un’altra persona fisica;
e) il
trattamento è necessario per l’esecuzione di un compito di interesse pubblico o
connesso all’esercizio di pubblici poteri di cui è investito il titolare del
trattamento;
f) il
trattamento è necessario per il perseguimento del legittimo interesse del
titolare del trattamento o di terzi, a condizione che non prevalgano gli
interessi o i diritti e le libertà fondamentali dell’interessato che richiedono
la protezione dei dati personali, in particolare se l’interessato è un minore.
La
lettera f) del primo comma non si applica al trattamento di dati effettuato
dalle autorità pubbliche nell’esecuzione dei loro compiti».
10 L’articolo
10 del regolamento in parola, intitolato «Trattamento dei dati personali
relativi a condanne penali e reati», dispone quanto segue:
«Il
trattamento dei dati personali relativi alle condanne penali e ai reati o a
connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, deve
avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento
è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie
appropriate per i diritti e le libertà degli interessati. Un eventuale registro
completo delle condanne penali deve essere tenuto soltanto sotto il controllo
dell’autorità pubblica».
11 L’articolo
51 del medesimo regolamento, intitolato «Autorità di controllo», al paragrafo 1
enuncia quanto segue:
«Ogni
Stato membro dispone che una o più autorità pubbliche indipendenti siano
incaricate di sorvegliare l’applicazione del presente regolamento al fine di
tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo
al trattamento e di agevolare la libera circolazione dei dati personali
all’interno dell’Unione (l’“autorità di controllo”)».
12 L’articolo
85 del RGPD, intitolato «Trattamento e libertà d’espressione e di
informazione», al paragrafo 1 dispone quanto segue:
«Il
diritto degli Stati membri concilia la protezione dei dati personali ai sensi
del presente regolamento con il diritto alla libertà d’espressione e di
informazione, incluso il trattamento a scopi giornalistici o di espressione
accademica, artistica o letteraria».
13 L’articolo
86 di tale regolamento, intitolato «Trattamento e accesso del pubblico ai
documenti ufficiali», al paragrafo 1 così prevede:
«I dati
personali contenuti in documenti ufficiali in possesso di un’autorità pubblica
o di un organismo pubblico o privato per l’esecuzione di un compito svolto
nell’interesse pubblico possono essere comunicati da tale autorità o organismo
conformemente al diritto dell’Unione o degli Stati membri cui l’autorità
pubblica o l’organismo pubblico sono soggetti, al fine di conciliare l’accesso
del pubblico ai documenti ufficiali e il diritto alla protezione dei dati
personali ai sensi del presente regolamento».
14 Ai
sensi dell’articolo 87 del regolamento in parola, intitolato «Trattamento del
numero di identificazione nazionale»:
«Gli
Stati membri possono precisare ulteriormente le condizioni specifiche per il
trattamento di un numero di identificazione nazionale o di qualsiasi altro
mezzo d’identificazione d’uso generale. In tal caso, il numero di
identificazione nazionale o qualsiasi altro mezzo d’identificazione d’uso
generale sono utilizzati soltanto in presenza di garanzie adeguate per i
diritti e le libertà dell’interessato conformemente al presente regolamento».
15 L’articolo
94 del medesimo regolamento dispone quanto segue:
«1. La
direttiva [95/46] è abrogata a decorrere dal 25 maggio 2018.
2. I
riferimenti alla direttiva abrogata si intendono fatti al presente regolamento.
(...)».
Direttiva
2016/680
16 I
considerando 10, 11 e 13 della direttiva 2016/680 così recitano:
«(10) Nella
dichiarazione n. 21, relativa alla protezione dei dati personali nel
settore della cooperazione giudiziaria in materia penale e della cooperazione
di polizia, allegata all’atto finale della conferenza intergovernativa che ha
adottato il trattato di Lisbona, la conferenza riconosce che potrebbero
rivelarsi necessarie, in considerazione della specificità dei settori in
questione, norme specifiche sulla protezione dei dati personali e sulla libera
circolazione di dati personali nei settori della cooperazione giudiziaria in
materia penale e della cooperazione di polizia, in base all’articolo
16 TFUE.
(11) È pertanto
opportuno per i settori in questione che una direttiva stabilisca le norme
specifiche relative alla protezione delle persone fisiche con riguardo al
trattamento dei dati personali da parte delle autorità competenti a fini di
prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di
sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce
alla sicurezza pubblica, nel rispetto della natura specifica di tali attività.
Tali autorità competenti possono includere non solo autorità pubbliche quali le
autorità giudiziarie, la polizia o altre autorità incaricate dell’applicazione
della legge, ma anche qualsiasi altro organismo o entità incaricati dal diritto
dello Stato membro di esercitare l’autorità pubblica e i poteri pubblici ai
fini della presente direttiva. Qualora tale organismo o entità trattino dati
personali per finalità diverse da quelle della presente direttiva, si applica
il [RGPD]. Il [RGPD] si applica pertanto nei casi in cui un organismo o
un’entità raccolgano dati personali per finalità diverse e procedano a un loro
ulteriore trattamento per adempiere un obbligo legale cui sono soggetti. (…).
(...)
(13) Un reato ai
sensi della presente direttiva dovrebbe costituire un concetto autonomo del
diritto dell’Unione come interpretato dalla Corte di giustizia dell’Unione europea
(...)».
17 L’articolo
3 della direttiva in parola dispone quanto segue:
«Ai fini
della presente direttiva si intende per:
(…)
7. “autorità
competente”:
a) qualsiasi
autorità pubblica competente in materia di prevenzione, indagine, accertamento
e perseguimento di reati o esecuzione di sanzioni penali, incluse la
salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica; o
b) qualsiasi
altro organismo o entità incaricati dal diritto dello Stato membro di
esercitare l’autorità pubblica e i poteri pubblici a fini di prevenzione,
indagine, accertamento e perseguimento di reati o esecuzione di sanzioni
penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza
pubblica;
(…)».
Direttiva
2003/98
18 Il
considerando 21 della direttiva 2003/98 è così formulato:
«La
presente direttiva dovrebbe essere attuata ed applicata nel pieno rispetto dei
principi relativi alla protezione dei dati personali ai sensi della direttiva
[95/46]».
19 L’articolo
1 della direttiva 2003/98/CE, intitolato «Oggetto e ambito di applicazione»,
così prevede:
«1. La
presente direttiva detta un complesso minimo di norme in materia di riutilizzo
e di strumenti pratici per agevolare il riutilizzo dei documenti esistenti in
possesso degli enti pubblici degli Stati membri.
2. La
presente direttiva non si applica:
(...)
c quater) ai
documenti il cui accesso è escluso o limitato in virtù dei regimi di accesso
per motivi di protezione dei dati personali, e a parti di documenti accessibili
in virtù di tali regimi che contengono dati personali il cui riutilizzo è stato
definito per legge incompatibile con la normativa in materia di tutela delle
persone fisiche con riguardo al trattamento dei dati personali;
(...)
3. La
presente direttiva si basa, senza recar loro pregiudizio, sui regimi di accesso
esistenti negli Stati membri.
4. La
presente direttiva non pregiudica in alcun modo il livello di tutela delle
persone fisiche con riguardo al trattamento dei dati personali ai sensi delle
disposizioni di diritto unionale e nazionale e non modifica, in particolare, i
diritti e gli obblighi previsti dalla direttiva [95/46].
(...)».
Diritto
lettone
20 L’articolo
96 della Latvijas Republikas Satversme (Costituzione della Repubblica di
Lettonia; in prosieguo: la «Costituzione lettone») dispone quanto segue:
«Ogni
individuo ha diritto al rispetto della sua vita privata, del suo domicilio e
della sua corrispondenza».
21 Ai
sensi dell’articolo 1, paragrafo 5, dell’Informācijas atklātības
likums (legge sulla libertà d’informazione), del 29 ottobre 1998 (Latvijas
Vēstnesis, 1998, n. 334/335), il riutilizzo consiste
nell’uso di informazioni accessibili al pubblico detenute e create da
un’autorità, per finalità commerciali o non commerciali diverse dallo scopo
iniziale per cui le informazioni sono state create, quando tale uso è
effettuato da un privato e non rientra nell’esercizio dei pubblici poteri.
22 Conformemente
dell’articolo 4 di tale legge, le informazioni accessibili al pubblico sono
quelle che non rientrano nella categoria delle informazioni ad accesso
limitato.
23 L’articolo
5, paragrafo 1, della legge in parola prevede che l’accesso alle informazioni è
limitato quando queste ultime sono destinate a un gruppo circoscritto di
persone ai fini dello svolgimento dei loro compiti o dell’adempimento dei loro
obblighi professionali e quando la divulgazione o la perdita di tali
informazioni, per via della loro natura e del loro contenuto, ostacola o può
ostacolare le attività di un’autorità oppure pregiudica o può pregiudicare gli
interessi delle persone giuridicamente protette. Tale articolo evidenzia, al
suo paragrafo 2, che le informazioni sono considerate ad accesso limitato
qualora, in particolare, la legge così preveda e precisa, al suo paragrafo 6,
che le informazioni già pubblicate non possono essere considerate informazioni
ad accesso limitato.
24 Secondo
l’articolo 10, paragrafo 3, della medesima legge, le informazioni accessibili
al pubblico possono essere fornite su richiesta: il richiedente non è tenuto a
giustificare in maniera specifica il suo interesse a ottenere tali informazioni
e l’accesso ad esse non può essergli rifiutato per il motivo che tali
informazioni non lo riguardano.
25 L’articolo
141 del Ceļu satiksmes likums (legge sulla circolazione
stradale), del 1° ottobre 1997 (Latvijas Vēstnesis, 1997,
n. 274/276), nella versione applicabile al procedimento principale (in
prosieguo: la «legge sulla circolazione stradale»), intitolato «Accesso alle
informazioni conservate nel registro nazionale dei veicoli e dei conducenti
(…)», al paragrafo 2 enuncia quanto segue:
«Le
informazioni relative (…) al diritto di una persona di guidare un veicolo, alle
ammende per infrazioni stradali inflitte a una persona e non pagate entro i
termini stabiliti ex lege e le altre informazioni inserite nel registro
nazionale dei veicoli e dei conducenti (…) sono considerate informazioni
accessibili al pubblico».
26 L’articolo
431 della legge sulla circolazione stradale, intitolato
«Sistema di punti di penalità», al paragrafo 1 dispone quanto segue:
«Al fine
di incidere sul comportamento dei conducenti di veicoli, promuovendo la guida
sicura dei veicoli e il rispetto della normativa stradale, nonché al fine di ridurre
al minimo i rischi per la vita, la salute e i beni delle persone, gli illeciti
amministrativi commessi dai conducenti di veicoli sono iscritti nel registro
delle condanne e i punti di penalità sono inseriti nel registro nazionale dei
veicoli e dei conducenti».
27 Conformemente
ai punti 1 e 4 del Ministru kabineta noteikumi Nr. 551
«Pārkāpumu uzskaites punktu sistēmas piemērošanas
noteikumi» (decreto n. 551 del Consiglio dei Ministri sulle disposizioni
relative all’applicazione del sistema dei punti di penalità), del 21 giugno
2004 (Latvijas Vēstnesis, 2004, n. 102), i punti di
penalità per gli illeciti amministrativi commessi in materia di circolazione
stradale da parte di conducenti di veicoli sono automaticamente registrati il
giorno della scadenza del termine di ricorso avverso la decisione che irroga
una sanzione amministrativa.
28 Secondo
il punto 7 di tale decreto, i punti di penalità vengono cancellati una volta
prescritti.
29 In
virtù del punto 12 di detto decreto, a seconda del numero di punti di penalità,
i conducenti sono destinatari di misure – quali avvertimenti, corsi o
esami in materia di sicurezza stradale – oppure sono sottoposti al divieto
di esercitare il diritto di guidare veicoli per un determinato periodo di
tempo.
30 Come
risulta dall’articolo 32, paragrafo 1, del Satversmes tiesas likums (legge
sulla Corte costituzionale), del 5 giugno 1996 (Latvijas Vēstnesis,
1996, n. 103), una sentenza della Latvijas Republikas Satversmes tiesa
(Corte costituzionale, Lettonia) è definitiva e costitutiva dalla data della
sua pronuncia. Conformemente all’articolo 32, paragrafo 3, di tale legge, una
disposizione dichiarata incompatibile con una norma di rango superiore da parte
della Latvijas Republikas Satversmes tiesa (Corte costituzionale) è nulla a
partire dalla data della pubblicazione della sentenza pronunciata da
quest’ultima, salvo che essa non decida altrimenti.
Procedimento
principale e questioni pregiudiziali
31 B
è una persona fisica a cui sono stati inflitti punti di penalità per una o più
infrazioni stradali. Conformemente alla legge sulla circolazione stradale e al
decreto n. 551, del 21 giugno 2004, la Ceļu satiksmes drošības
direkcija (Direzione per la sicurezza stradale, Lettonia) (in prosieguo: la
«CSDD») ha iscritto tali punti di penalità nel registro nazionale dei veicoli e
dei conducenti.
32 Dal
momento che le informazioni riguardanti i suddetti punti di penalità contenute
in tale registro sono accessibili al pubblico e sono state, inoltre, secondo B,
comunicate a diversi operatori economici per essere riutilizzate, B ha proposto
un ricorso costituzionale dinanzi alla Latvijas Republikas Satversmes tiesa
(Corte costituzionale) affinché quest’ultima esaminasse la conformità
dell’articolo 141, paragrafo 2, della legge sulla circolazione
stradale al diritto al rispetto della vita privata sancito dall’articolo 96
della Costituzione lettone.
33 La
Latvijas Republikas Saeima (Parlamento della Repubblica di Lettonia; in
prosieguo: il «Parlamento lettone») è intervenuta nel procedimento in quanto
istituzione che ha adottato la legge sulla circolazione stradale. Inoltre, la
CSDD – che effettua il trattamento dei dati riguardanti i punti di
penalità inflitti per infrazioni stradali – è stata sentita, al pari della
Datu valsts inspekcija (Agenzia statale per la protezione dei dati), che in
Lettonia è l’autorità di controllo ai sensi dell’articolo 51 del RGPD, e di
numerose altre autorità e persone.
34 Nell’ambito
del ricorso nel procedimento principale, il Parlamento lettone ha confermato
che, ai sensi dell’articolo 141, paragrafo 2, della legge sulla
circolazione stradale, chiunque può ottenere informazioni riguardanti i punti
di penalità inflitti a un’altra persona facendone richiesta direttamente alla
CSDD o utilizzando i servizi forniti da riutilizzatori commerciali.
35 Esso
ha evidenziato che la disposizione in parola è legittima, in quanto
giustificata dalla finalità di migliorare la sicurezza stradale. Tale interesse
generale esigerebbe che chi viola le norme sulla circolazione stradale –
in particolare coloro che violano tali norme sistematicamente e
intenzionalmente – sia pubblicamente identificato e che i conducenti,
grazie a tale sistema di trasparenza, siano dissuasi dal commettere infrazioni.
36 Tale
disposizione sarebbe inoltre giustificata dal diritto di accesso
all’informazione previsto dalla Costituzione lettone.
37 Il
Parlamento lettone ha precisato che, nella pratica, la comunicazione delle
informazioni contenute nel registro nazionale dei veicoli e dei conducenti è
subordinata alla condizione che chi richiede le informazioni indichi il numero
di identificazione nazionale sul conducente del quale cerca informazioni. Tale
condizione preliminare per ottenere informazioni si spiegherebbe con il fatto
che, a differenza del nome di una persona, che può essere identico a quello di
altre persone, il numero di identificazione nazionale è un identificatore
univoco.
38 La
CSDD, dal canto suo, ha osservato che l’articolo 141, paragrafo 2,
della legge sulla circolazione stradale non impone limiti né all’accesso del
pubblico ai dati relativi ai punti di penalità né al loro riutilizzo. Per
quanto riguarda i contratti che essa conclude con i riutilizzatori commerciali,
la CSDD ha evidenziato che tali contratti non prevedono il trasferimento legale
dei dati e che i riutilizzatori devono garantire che le informazioni trasmesse
ai propri clienti non eccedano quelle che possono essere ottenute dalla CSDD.
Inoltre, nell’ambito di tali contratti, chi acquisisce le informazioni
dichiarerebbe di utilizzare le informazioni ottenute in conformità agli scopi
indicati nel contratto e nel rispetto della normativa vigente.
39 Per
quanto riguarda la Datu valsts inspekcija (Agenzia per la protezione dei dati),
quest’ultima ha espresso dubbi circa la conformità dell’articolo 141,
paragrafo 2, della legge sulla circolazione stradale con l’articolo 96 della
Costituzione lettone, il quale prevede il diritto al rispetto della vita
privata. A suo avviso, l’importanza e lo scopo del trattamento effettuato sulla
base della disposizione in questione nel procedimento principale non sarebbero
chiaramente stabiliti, sicché non si può escludere che tale trattamento sia
inappropriato o sproporzionato. Infatti, sebbene le statistiche relative agli
incidenti stradali in Lettonia indichino una diminuzione del numero di
incidenti, non vi è alcuna prova che il sistema dei punti di penalità e il
pubblico accesso alle informazioni relative a tale sistema abbiano contribuito
a tale evoluzione favorevole.
40 La
Latvijas Republikas Satversmes tiesa (Corte costituzionale) constata,
anzitutto, che il ricorso riguarda l’articolo 141, paragrafo 2,
della legge sulla circolazione stradale solo nella parte in cui detta
disposizione rende accessibili al pubblico i punti di penalità iscritti nel
registro nazionale dei veicoli e dei conducenti.
41 Tale
giudice rileva, poi, che i punti di penalità sono dati personali e che, per
valutare l’ambito di applicazione del diritto al rispetto della vita privata di
cui all’articolo 96 della Costituzione lettone, occorre tener conto del RGPD
nonché, più in generale, dell’articolo 16 TFUE e dell’articolo 8 della
Carta.
42 Per
quanto riguarda gli obiettivi della normativa lettone in materia di
circolazione stradale, detto giudice spiega che è proprio per promuovere la
sicurezza stradale che le infrazioni commesse dai conducenti – qualificate
in Lettonia come illeciti amministrativi – sono iscritte nel registro
delle condanne e che i punti di penalità sono iscritti nel registro nazionale
dei veicoli e dei conducenti.
43 Per
quanto riguarda, in particolare, il registro nazionale dei veicoli e dei
conducenti, esso permetterebbe di conoscere il numero di infrazioni stradali
commesse e di applicare misure in funzione di tale numero. Il sistema dei punti
di penalità iscritti nel registro mirerebbe, in tal modo, a migliorare la
sicurezza stradale consentendo, da un lato, di operare una distinzione tra i
conducenti di veicoli che violano sistematicamente e intenzionalmente le norme
sulla circolazione stradale e quelli che commettono infrazioni occasionali.
Dall’altro lato, un simile sistema potrebbe anche incidere in maniera preventiva
sul comportamento degli utenti della strada, inducendoli a rispettare le norme
sulla circolazione stradale.
44 Il
medesimo giudice osserva che è pacifico che la l’articolo 141,
paragrafo 2, della legge sulla circolazione stradale conferisce a chiunque il
diritto di chiedere e ottenere dalla CSDD le informazioni contenute nel
registro nazionale dei veicoli e dei conducenti in relazione ai punti di
penalità inflitti ai conducenti. Esso conferma al riguardo che, nella pratica,
tali informazioni vengono fornite al richiedente nel momento in cui
quest’ultimo indica il numero di identificazione nazionale del conducente
interessato.
45 La
Latvijas Republikas Satversmes tiesa (Corte costituzionale) precisa poi che i
punti di penalità rientrano nell’ambito di applicazione della legge sulla
libertà d’informazione, essendo considerati informazioni accessibili al
pubblico, che possono, di conseguenza, essere riutilizzate a fini, commerciali
o non commerciali, diversi dallo scopo iniziale per il quale tali informazioni
sono state create.
46 Al
fine di interpretare e applicare l’articolo 96 della Costituzione lettone in
conformità al diritto dell’Unione, tale giudice si chiede, in primo luogo, se
le informazioni relative ai punti di penalità rientrino tra quelle di cui
all’articolo 10 del RGPD, ossia tra i «dati personali relativi alle condanne
penali e ai reati». Se così fosse, si potrebbe ritenere che l’articolo 141,
paragrafo 2, della legge sulla circolazione stradale violi il requisito di cui
all’articolo 10, in base al quale il trattamento dei dati ivi menzionati può
avvenire soltanto «sotto il controllo dell’autorità pubblica» o in presenza di
«garanzie appropriate per i diritti e le libertà degli interessati».
47 Detto
giudice rileva che l’articolo 8, paragrafo 5, della direttiva 95/46, che
lasciava a ciascuno Stato membro il compito di valutare se le norme speciali in
materia di dati relativi alle condanne penali e ai reati dovessero estendersi
ai dati relativi alle sanzioni e agli illeciti amministrativi, era stato
attuato, dal 1° settembre 2007, in Lettonia in maniera tale da far sì che
i dati personali riguardanti gli illeciti amministrativi, al pari dei dati
relativi alle condanne penali e ai reati, potevano essere trattati solo dai soggetti
e nei casi previsti dalla legge.
48 Il
medesimo giudice evidenzia, inoltre, che la portata dell’articolo 10 del RGPD
deve, in conformità al considerando 4 di tale regolamento, essere valutata
tenendo conto della funzione dei diritti fondamentali nella società. Orbene, in
tale contesto, l’obiettivo di evitare che una sanzione inflitta in passato
abbia un’incidenza negativa eccessiva sulla vita privata e professionale di una
persona potrebbe applicarsi tanto alle condanne penali quanto agli illeciti amministrativi.
Ciò premesso, occorrerebbe tener conto della giurisprudenza della Corte europea
dei diritti dell’uomo relativa all’assimilazione di taluni procedimenti
amministrativi a procedimenti penali.
49 La
Latvijas Republikas Satversmes tiesa (Corte costituzionale) si interroga, in
secondo luogo, sulla portata dell’articolo 5 del RGPD. In particolare, essa si
chiede se il legislatore lettone si sia conformato all’obbligo di cui al
paragrafo 1, lettera f), di tale articolo, di trattare i dati personali con
«integrità e riservatezza». Essa rileva che l’articolo 141,
paragrafo 2, della legge sulla circolazione stradale – la quale,
consentendo l’accesso alle informazioni sui punti di penalità, permette di
sapere se una persona è stata sanzionata per un’infrazione stradale – non
è stato corredato da misure specifiche che garantiscano la sicurezza di tali
dati.
50 Detto
giudice si chiede, in terzo luogo, se la direttiva 2003/98 sia pertinente al
fine di valutare la compatibilità dell’articolo 141, paragrafo 2,
della legge sulla circolazione stradale con il diritto al rispetto della vita
privata. Da tale direttiva si evince, infatti, che il riutilizzo di dati
personali può essere consentito soltanto qualora venga rispettato tale diritto.
51 In
quarto luogo, in considerazione della giurisprudenza della Corte secondo cui
l’interpretazione del diritto dell’Unione fornita in via pregiudiziale ha
efficacia erga omnes ed ex tunc, tale giudice si chiede se, in caso di
incompatibilità dell’articolo 141, paragrafo 2, della legge sulla
circolazione stradale con l’articolo 96 della Costituzione lettone, letto alla
luce del RGPD e della Carta, essa possa comunque mantenere gli effetti nel
tempo di detto articolo 141, paragrafo 2, fino alla data della
pronuncia della sua sentenza, tenuto conto del numero elevato di rapporti
giuridici pendenti.
52 A
tal riguardo, la Latvijas Republikas Satversmes tiesa (Corte costituzionale)
spiega che, in base al diritto lettone, un atto dichiarato incostituzionale
deve essere considerato nullo a partire dalla data di pronuncia della sua
sentenza, salvo che quest’ultima non decida altrimenti. Essa spiega, al
riguardo, di essere tenuta a garantire un equilibrio tra, da un lato, il
principio di certezza del diritto e, dall’altro, i diritti fondamentali dei
diversi interessati.
53 Stanti
tali circostanze, la Latvijas Republikas Satversmes tiesa (Corte
costituzionale) ha deciso di sospendere il procedimento e di sottoporre alla
Corte le seguenti questioni pregiudiziali:
«1) Se la
nozione di “trattamento dei dati personali relativi alle condanne penali e ai
reati o a connesse misure di sicurezza”, di cui all’articolo 10 del [RGPD],
debba essere interpretata nel senso che include il trattamento di informazioni
riguardanti i punti inflitti ai conducenti per infrazioni stradali previsto
nella norma controversa.
2) Indipendentemente
dalla risposta alla prima questione, se le disposizioni del [RGPD], in
particolare il principio di “integrità e riservatezza” di cui all’articolo 5,
paragrafo 1, lettera f), del medesimo, debbano essere interpretate nel senso
che vietano agli Stati membri di stabilire che le informazioni riguardanti i
punti inflitti ai conducenti per infrazioni stradali siano accessibili al
pubblico e che i dati corrispondenti possano essere trattati mediante
comunicazione degli stessi.
3) Se i
considerando 50 e 154, gli articoli 5, paragrafo 1, lettera b), e 10 del [RGPD]
e l’articolo 1, paragrafo 2, lettera c quater), della direttiva [2003/98],
debbano essere interpretati nel senso che ostano a una normativa di uno Stato
membro che consente la trasmissione delle informazioni riguardanti i punti
inflitti ai conducenti per infrazioni stradali a fini del loro riutilizzo.
4) In caso di
risposta affermativa a una qualsiasi delle questioni di cui sopra, se il
principio del primato del diritto dell’Unione e il principio della certezza del
diritto debbano essere interpretati nel senso che potrebbe essere possibile
applicare la norma controversa e mantenere i suoi effetti giuridici fino al
passaggio in giudicato della decisione finale adottata dalla [Satversmes tiesa
(Corte costituzionale)]».
Sulle
questioni pregiudiziali
Sulla
prima questione
54 Con
la sua prima questione, il giudice del rinvio chiede, in sostanza, se
l’articolo 10 del RGPD debba essere interpretato nel senso che esso si applica
al trattamento dei dati personali relativi ai punti di penalità inflitti ai
conducenti di veicoli per infrazioni stradali consistente nella divulgazione di
tali dati al pubblico.
55 Ai
sensi dell’articolo 10 del RGPD, il trattamento dei dati personali relativi
alle condanne penali e ai reati o a connesse misure di sicurezza sulla base
dell’articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo
dell’autorità pubblica o se il trattamento è autorizzato dal diritto
dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti
e le libertà degli interessati.
56 Occorre
quindi, in via preliminare, verificare se le informazioni riguardanti i punti
di penalità comunicate a terzi in forza del regolamento in questione nel
procedimento principale costituiscano «dati personali», ai sensi dell’articolo
4, punto 1, del RGPD e se tale comunicazione costituisca un «trattamento» di
detti dati, ai sensi dell’articolo 4, punto 2, del regolamento in parola,
rientrante nell’ambito di applicazione materiale di quest’ultimo, come definito
al suo articolo 2.
57 Al
riguardo, occorre constatare, in primo luogo, che dalla decisione di rinvio
emerge che la normativa lettone prevede l’applicazione di punti di penalità ai
conducenti di veicoli che hanno commesso un’infrazione stradale e ai quali è
stata irrogata una sanzione, pecuniaria o di altra natura. Tali punti sono
inseriti da un organismo pubblico, la CSDD, nel registro nazionale dei veicoli
e dei conducenti il giorno della scadenza del termine di ricorso avverso la
decisione che infligge tale sanzione.
58 Da
tale decisione si evince altresì che le infrazioni stradali e le relative
sanzioni dirette a reprimerle sono disciplinate, in Lettonia, dal diritto
amministrativo e che lo scopo dell’irrogazione di punti di penalità non è
quello di infliggere una sanzione aggiuntiva ma di sensibilizzare i conducenti
interessati, inducendoli ad adottare uno stile di guida più sicuro. Quando
viene raggiunto un certo numero di punti di penalità, l’interessato può essere
sottoposto al divieto di guidare per un determinato periodo di tempo.
59 Da
tale decisione emerge altresì che la normativa in questione nel procedimento
principale obbliga la CSDD a comunicare le informazioni riguardanti i punti di
penalità inflitti a un determinato conducente a chiunque chieda di accedere a
tali informazioni. La CSDD si limita ad esigere, a tal fine, che il richiedente
tali informazioni identifichi debitamente il conducente interessato fornendo il
numero di identificazione nazionale di quest’ultimo.
60 È
necessario pertanto constatare che le informazioni riguardanti i punti di penalità,
che si riferiscono a una persona fisica individuata, sono «dati personali», ai
sensi dell’articolo 4, punto 1, del RGPD e che la comunicazione di questi
ultimi a terzi da parte della CSDD costituisce un «trattamento», ai sensi
dell’articolo 4, punto 2, del RGPD.
61 In
secondo luogo, si deve constatare che la comunicazione di dette informazioni
rientra nella definizione molto ampia dell’ambito di applicazione materiale del
RGPD, di cui all’articolo 2, paragrafo 1, e non figura nel novero dei trattamenti
di dati personali che l’articolo 2, paragrafo 2, lettere a) e d), del RGPD
esclude dal medesimo ambito di applicazione.
62 Per
quanto riguarda, infatti, da un lato, l’articolo 2, paragrafo 2, lettera a),
del RGPD, quest’ultimo prevede che tale regolamento non si applichi ai
trattamenti di dati personali «effettuati per attività che non rientrano
nell’ambito di applicazione del diritto dell’Unione». Tale eccezione
all’applicabilità del RGPD deve, al pari delle altre eccezioni previste dall’articolo
2, paragrafo 2, di quest’ultimo, essere interpretata restrittivamente (v., in
tal senso, sentenze del 9 luglio 2020, Land Hessen, C‑272/19,
EU:C:2020:535, punto 68, nonché del 16 luglio 2020, Facebook Ireland e Schrems,
C‑311/18, EU:C:2020:559, punto 84).
63 Al
riguardo, l’articolo 2, paragrafo 2, lettera a), del regolamento in parola deve
essere letto in combinato disposto con l’articolo 2, paragrafo 2, lettera b), e
con il considerando 16, del medesimo, il quale precisa che detto regolamento non
si applica ai trattamenti dei dati personali nell’ambito di «attività che non
rientrano nell’ambito di applicazione del diritto dell’Unione, quali le
attività riguardanti la sicurezza nazionale» nonché nell’esercizio di «attività
relative alla politica estera e di sicurezza comune dell’Unione».
64 Ne
consegue che l’articolo 2, paragrafo 2, lettere a) e b), del RGPD si inserisce
parzialmente nel solco dell’articolo 3, paragrafo 2, primo trattino, de la
direttiva 95/46. Da ciò deriva che l’articolo 2, paragrafo 2, lettere a) e b),
del RGPD non può essere interpretato come avente una portata più ampia di
quella dell’eccezione derivante dall’articolo 3, paragrafo 2, primo trattino,
della direttiva 95/46, il quale escludeva già dall’ambito di applicazione di
tale direttiva, in particolare, i trattamenti di dati personali effettuati
nell’ambito di «attività che non rientrano nel campo di applicazione del
diritto comunitario, come quelle previste dai titoli V e VI del
trattato [UE, nella versione anteriore al trattato di Lisbona] e comunque [i]
trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza
dello Stato (...)».
65 Orbene,
come la Corte ha ripetutamente dichiarato, solo i trattamenti di dati personali
effettuati nell’ambito di un’attività propria degli Stati o delle autorità
statali ed espressamente menzionata in detto articolo 3, paragrafo 2, o
nell’ambito di un’attività che può essere ascritta alla medesima categoria,
erano esclusi dall’ambito di applicazione di detta direttiva (v., in tal senso,
sentenze del 6 novembre 2003, Lindqvist, C‑101/01, EU:C:2003:596, punti
da 42 a 44; del 27 settembre 2017, Puškár, C‑73/16, EU:C:2017:725, punti
36 e 37, e del 10 luglio 2018, Jehovan todistajat, C‑25/17,
EU:C:2018:551, punto 38).
66 Ne
consegue che l’articolo 2, paragrafo 2, lettera a), del RGPD, letto alla luce
del considerando 16 di tale regolamento, deve essere inteso come avente l’unico
obiettivo di escludere dall’ambito di applicazione di detto regolamento i
trattamenti di dati personali effettuati dalle autorità statali nell’ambito di
un’attività volta a salvaguardare la sicurezza nazionale o di un’attività che
può essere ascritta alla medesima categoria, di modo che il mero fatto che
un’attività sia propria dello Stato o di un’autorità pubblica non è sufficiente
affinché tale eccezione sia automaticamente applicabile a una siffatta attività
(v., in tal senso, sentenza del 9 luglio 2020, Land Hessen, C‑272/19,
EU:C:2020:535, punto 70).
67 Le
attività che hanno lo scopo di salvaguardare la sicurezza nazionale di cui
all’articolo 2, paragrafo 2, lettera a), del RGPD comprendono, in particolare,
come rilevato, in sostanza, anche dall’avvocato generale ai paragrafi 57 e 58
delle sue conclusioni, quelle volte a tutelare le funzioni essenziali dello
Stato e gli interessi fondamentali della società.
68 Orbene,
le attività riguardanti la sicurezza stradale non perseguono un siffatto
obiettivo e non possono, di conseguenza, essere ascritte alla categoria delle
attività che hanno lo scopo di salvaguardare la sicurezza nazionale di cui
all’articolo 2, paragrafo 2, lettera a), del RGPD.
69 Per
quanto riguarda, dall’altro lato, l’articolo 2, paragrafo 2, lettera d), del
RGPD, esso prevede che tale regolamento non si applichi ai trattamenti dei dati
personali «effettuati dalle autorità competenti a fini di prevenzione,
indagine, accertamento o perseguimento di reati o esecuzione di sanzioni
penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la
prevenzione delle stesse». Come emerge dal considerando 19 del regolamento in
parola, tale eccezione è motivata dalla circostanza che i trattamenti dei dati
personali, da parte delle autorità competenti e per le succitate finalità, sono
disciplinati da un atto più specifico dell’Unione, ossia la direttiva 2016/680,
la quale è stata adottata il medesimo giorno del RGPD e che definisce, al suo
articolo 3, paragrafo 7, ciò che debba intendersi per «autorità competente»,
definizione questa che deve essere applicata, per analogia, all’articolo 2,
paragrafo 2, lettera d).
70 Dal
considerando 10 della direttiva 2016/680 si evince che la nozione di «autorità
competente» deve essere intesa in relazione alla protezione dei dati personali
nel settore della cooperazione giudiziaria in materia penale e della
cooperazione di polizia, tenuto conto degli adeguamenti che possono al riguardo
risultare necessari in considerazione della specificità di tali settori.
Inoltre, il considerando 11 della direttiva in parola precisa che il RGPD si
applica al trattamento dei dati personali che venga effettuato da un’«autorità
competente», ai sensi dell’articolo 3, paragrafo 7, di detta direttiva, ma per
finalità diverse da quelle previste da quest’ultima.
71 Alla
luce degli elementi di cui dispone la Corte, non risulta che, nell’esercizio
delle attività in questione nel procedimento principale – che consistono
nel comunicare al pubblico dati personali riguardanti i punti di penalità a
fini di sicurezza stradale – la CSDD possa essere considerata un’«autorità
competente», ai sensi dell’articolo 3, paragrafo 7, della direttiva 2016/680,
e, pertanto, che simili attività possano rientrare nell’ambito di applicazione
dell’eccezione di cui all’articolo 2, paragrafo 2, lettera d), del RGPD.
72 Pertanto,
la comunicazione da parte della CSDD dei dati personali relativi ai punti di
penalità inflitti ai conducenti di veicoli per infrazioni stradali rientra
nell’ambito di applicazione materiale del RGPD.
73 Quanto
all’applicabilità dell’articolo 10 del RGPD a una siffatta comunicazione, si
tratta di determinare se le informazioni così comunicate costituiscano dati
personali «relativi alle condanne penali e ai reati o a connesse misure di
sicurezza», ai sensi di tale disposizione, il cui trattamento «deve avvenire
soltanto sotto il controllo dell’autorità pubblica», a meno che esso non sia
«autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie
appropriate per i diritti e le libertà degli interessati».
74 Al
riguardo, occorre ricordare che detto articolo 10 mira a garantire una maggiore
protezione contro trattamenti che, a causa della natura particolarmente
sensibile dei dati in questione, possono costituire un’ingerenza
particolarmente grave nei diritti fondamentali al rispetto della vita privata e
alla protezione dei dati personali, garantiti dagli articoli 7 e 8 della Carta
[v., in tal senso, sentenza del 24 settembre 2019, GC e a.
(Deindicizzazione di dati sensibili), C‑136/17, EU:C:2019:773, punto 44].
75 Infatti,
dal momento che i dati ai quali si riferisce l’articolo 10 del RGPD riguardano
condotte che suscitano la disapprovazione della società, la concessione di un
accesso a simili dati può comportare la stigmatizzazione dell’interessato e
costituire, in tal modo, una grave ingerenza nella sua vita privata o
professionale.
76 Nel
caso di specie, è vero che le decisioni delle autorità lettoni volte a
reprimere le infrazioni stradali sono iscritte – come evidenziato dal
governo lettone nelle risposte fornite ai quesiti posti dalla Corte – nel
registro delle condanne, al quale il pubblico ha accesso soltanto in
determinati casi, e non nel registro dei veicoli e dei conducenti, a cui
l’articolo 141, paragrafo 2, della legge sulla circolazione stradale
dà libero accesso. Tuttavia, come evidenziato dal giudice del rinvio, la
comunicazione da parte della CSDD dei dati personali relativi ai punti di
penalità e iscritti in quest’ultimo registro consente al pubblico di sapere se
una determinata persona abbia commesso infrazioni stradali e, in caso
affermativo, di dedurne la gravità nonché la frequenza. Un simile sistema di
comunicazione dei punti di penalità equivale, di conseguenza, a dare accesso ai
dati personali relativi alle infrazioni stradali.
77 Al
fine di determinare se un accesso del genere costituisca un trattamento di dati
personali relativi a «reati», ai sensi dell’articolo 10 del RGPD, si deve
rilevare, in primo luogo, che tale nozione fa riferimento esclusivamente agli
illeciti penali, come risulta, in particolare, dalla genesi del RGPD. Sebbene
il Parlamento europeo avesse, infatti, proposto di includere espressamente in
tale disposizione i termini «sanzioni amministrative» (GU 2017, C 378,
pag. 430), tale proposta non è stata tuttavia accolta. Detta circostanza è
rilevante a maggior ragione in quanto la disposizione che ha preceduto
l’articolo 10 del RGPD, ossia l’articolo 8, paragrafo 5, della direttiva 95/46,
che faceva riferimento, al suo primo comma, alle «infrazioni» e alle «condanne
penali», contemplava, al suo secondo comma, la possibilità per gli Stati membri
di «prevedere che i trattamenti di dati riguardanti sanzioni amministrative
[fossero] ugualmente effettuati sotto controllo dell’autorità pubblica». Dalla
lettura complessiva di detto articolo 8, paragrafo 5, si evince quindi
chiaramente che la nozione di «infrazione» si riferiva esclusivamente agli
illeciti penali.
78 Stanti
tali circostanze, si deve ritenere che il legislatore dell’Unione, omettendo
deliberatamente di includere l’aggettivo «amministrativo» nell’articolo 10 del
RGPD, ha inteso riservare la maggiore protezione prevista da tale disposizione
al solo ambito penale.
79 Tale
interpretazione è corroborata, come rilevato dall’avvocato generale ai
paragrafi da 74 a 77 delle sue conclusioni, dal fatto che diverse versioni
linguistiche dell’articolo 10 del RGPD fanno espressamente riferimento agli
«illeciti penali», come quelle in lingua tedesca (Straftaten), spagnola
(infracciones penales), italiana (reati), lituana (nusikalstamas
veikas), maltese (reati) e neerlandese (strafbare feiten).
80 In
secondo luogo, la circostanza che le infrazioni stradali siano qualificate come
illeciti amministrativi in Lettonia non è determinante al fine di valutare se
tali infrazioni rientrino nel campo di applicazione dell’articolo 10 del RGPD.
81 Al
riguardo, si deve ricordare che i termini di una disposizione del diritto
dell’Unione, la quale non contenga alcun rinvio espresso al diritto degli Stati
membri al fine di determinare il suo senso e la sua portata, devono di norma
dar luogo, in tutta l’Unione, ad un’interpretazione autonoma e uniforme
(sentenze del 19 settembre 2000, Linster, C‑287/98, EU:C:2000:468, punto
43, e del 1° ottobre 2019, Planet49, C‑673/17, EU:C:2019:801, punto
47).
82 Nel
caso di specie, occorre rilevare, anzitutto, che il RGPD non contiene alcun
rinvio ai diritti nazionali quanto alla portata dei termini contenuti
nell’articolo 10 di quest’ultimo, in particolare dei termini «reati» e
«condanne penali».
83 Dal
considerando 10 del RGPD emerge, poi, che quest’ultimo mira a contribuire alla
realizzazione di uno spazio di libertà, sicurezza e giustizia garantendo un
livello coerente ed elevato di protezione delle persone fisiche con riguardo al
trattamento dei dati personali, il che presuppone che tale livello di
protezione sia equivalente ed omogeneo in tutti gli Stati membri. Orbene,
sarebbe contraria a tale finalità la circostanza che la maggiore protezione
prevista da tale disposizione si applichi al trattamento dei dati personali
relativi alle infrazioni stradali soltanto in alcuni Stati membri e non in
altri, per il solo motivo che tali illeciti non sono qualificati come penali in
questi ultimi Stati membri.
84 Infine,
come rilevato dall’avvocato generale al paragrafo 84 delle sue conclusioni,
tale constatazione è corroborata dal considerando 13 della direttiva 2016/680,
secondo cui «un reato ai sensi [di tale] direttiva dovrebbe costituire un
concetto autonomo del diritto dell’Unione come interpretato dalla Corte di
giustizia dell’Unione europea».
85 Ne
consegue che la nozione di «reato», decisiva per determinare l’applicabilità
dell’articolo 10 del RGPD a dati personali relativi alle infrazioni stradali,
come quelle di cui trattasi nel procedimento principale, esige nell’intera
Unione un’interpretazione autonoma e uniforme da effettuarsi tenendo conto
dell’obiettivo perseguito da tale disposizione e dal contesto nel quale si
inserisce, senza che sia determinante a tal riguardo la qualificazione fornita
dallo Stato membro interessato di tali illeciti, atteso che detta
qualificazione può essere differente a seconda del paese considerato (v., in
tal senso, sentenza del 14 novembre 2013, Baláž, C‑60/12, EU:C:2013:733,
punti 26 e 35)
86 In
terzo luogo, occorre esaminare se le infrazioni stradali, come quelle che danno
luogo all’iscrizione nel registro dei veicoli e dei conducenti dei punti di
penalità la cui comunicazione a terzi è prevista dalla norma controversa,
costituiscano un «reato», ai sensi dell’articolo 10 del RGPD.
87 Secondo
la giurisprudenza della Corte, tre criteri sono rilevanti per valutare la
natura penale di un illecito. Il primo consiste nella qualificazione giuridica
dell’illecito nel diritto nazionale, il secondo nella natura dell’illecito e,
il terzo, nel grado di severità della sanzione in cui l’interessato rischia di
incorrere (v., in tal senso, sentenze del 5 giugno 2012, Bonda, C‑489/10,
EU:C:2012:319, punto 37; del 20 marzo 2018, Garlsson Real Estate e a., C‑537/16,
EU:C:2018:193, punto 28, e del 2 febbraio 2021, Consob, C‑481/19,
EU:C:2021:84, punto 42).
88 Anche
per gli illeciti che non sono qualificati come «penali» dal diritto nazionale,
una simile qualificazione può nondimeno derivare della natura stessa
dell’illecito in questione e dal grado di severità delle sanzioni che
quest’ultimo può comportare (v., in tal senso, sentenza del 20 marzo 2018,
Garlsson Real Estate e a., C‑537/16, EU:C:2018:193, punti 28 e 32).
89 Quanto
al criterio relativo alla natura medesima dell’illecito, esso implica di
verificare se la sanzione contemplata persegua, in particolare, una finalità
repressiva, senza che la mera circostanza che essa persegua anche una finalità
preventiva sia idonea a privarla della sua qualificazione di sanzione penale.
Infatti, fa parte della natura stessa delle sanzioni penali la circostanza che
esse siano volte tanto alla prevenzione quanto alla repressione di condotte
illecite. Per contro, una misura che si limiti a risarcire il danno causato
dall’illecito considerato non riveste natura penale (v., in tal senso, sentenze
del 5 giugno 2012, Bonda, C‑489/10, EU:C:2012:319, punto 39, e del 20
marzo 2018, Garlsson Real Estate e a., C‑537/16, EU:C:2018:193,
punto 33). Orbene, è pacifico che l’attribuzione dei punti di penalità per
infrazioni stradali, al pari delle ammende o di altre sanzioni che la
commissione di tali infrazioni può comportare, non ha soltanto la finalità di
risarcire i danni eventualmente causati da dette infrazioni, ma persegue anche
una finalità repressiva.
90 Per
quanto riguarda il criterio relativo al grado di severità delle sanzioni che la
commissione di queste stesse infrazioni può comportare, occorre rilevare, anzitutto,
che solo le infrazioni stradali di una certa gravità comportano l’attribuzione
di punti di penalità e che, di conseguenza, siffatte infrazioni possono
comportare sanzioni di una certa gravità. L’irrogazione di punti di penalità si
aggiunge, poi, generalmente alla sanzione inflitta in caso di commissione di
una simile infrazione, come accade del resto nel caso della normativa in
questione nel procedimento principale, come rilevato al punto 58 della presente
sentenza. Infine, il cumulo di detti punti comporta, di per sé, conseguenze
giuridiche, come l’obbligo di sostenere un esame, se non addirittura il divieto
di guidare.
91 Tale
analisi è corroborata dalla giurisprudenza della Corte europea dei diritti
dell’uomo secondo cui, nonostante la tendenza alla «depenalizzazione» delle
infrazioni stradali in taluni Stati, tali infrazioni devono generalmente –
alla luce della finalità sia preventiva che repressiva delle sanzioni inflitte
e del grado di severità che queste ultime possono raggiungere – essere
considerate di natura penale (v., in tal senso, Corte EDU, 21 febbraio 1984,
Öztürk c. Germania, CE:ECHR:1984:0221JUD 000854479, §§ da 49 a 53; 29
giugno 2007, O’Halloran e Francis c. Regno Unito CE:ECHR:2007:0629JUD
001580902, §§ da 33 a 36, e 4 ottobre 2016, Rivard c. Svizzera,
CE:ECHR:2016:1004JUD 002156312, §§ 23 e 24).
92 La
qualificazione delle infrazioni stradali che possono comportare l’applicazione
dei punti di penalità come «reato», ai sensi dell’articolo 10 del RGPD è anche
in linea con la finalità di tale disposizione. La comunicazione al pubblico dei
dati personali relativi alle infrazioni stradali, compresi i punti di penalità
inflitti per la loro commissione, può infatti suscitare, in considerazione del
fatto che tali infrazioni pregiudicano la sicurezza stradale, la
disapprovazione sociale e comportare la stigmatizzazione dell’interessato, in
particolare quando tali punti pongono in evidenza una certa gravità o frequenza
delle suddette infrazioni.
93 Ne
consegue che le infrazioni stradali che possono comportare l’attribuzione di
punti di penalità rientrano nella nozione di «reati» di cui all’articolo 10 del
RGPD.
94 Alla
luce dell’insieme delle considerazioni che precedono, si deve rispondere alla
prima questione sottoposta dichiarando che l’articolo 10 del RGPD deve essere
interpretato nel senso che esso si applica al trattamento dei dati personali
relativi ai punti di penalità inflitti ai conducenti di veicoli per infrazioni
stradali.
Sulla
seconda questione
95 Con
la sua seconda questione, il giudice del rinvio chiede, in sostanza, se le
disposizioni del RGPD debbano essere interpretate nel senso che esse ostano a
una normativa nazionale che impone all’organismo pubblico responsabile del
registro in cui sono inseriti i punti di penalità inflitti ai conducenti di
veicoli per infrazioni stradali di comunicare tali dati a qualsiasi persona che
ne faccia richiesta, senza che quest’ultima sia tenuta a dimostrare un
interesse specifico all’ottenimento di tali dati.
96 Al
riguardo, occorre ricordare che ogni trattamento di dati personali deve, da un
lato, essere conforme ai principi relativi al trattamento dei dati elencati
all’articolo 5 del RGPD e, dall’altro, rispondere a uno dei principi relativi
alla liceità del trattamento dati elencati all’articolo 6 di detto regolamento
(v., in tal senso, sentenza del 16 gennaio 2019, Deutsche Post, C‑496/17,
EU:C:2019:26, punto 57 e giurisprudenza ivi citata).
97 Per
quanto riguarda i principi relativi al trattamento dei dati personali, è vero
che il giudice del rinvio si riferisce specificamente ai principi di
«integrità» e «riservatezza» sanciti all’articolo 5, paragrafo 1, lettera f),
del RGPD. Ciò premesso, dai quesiti posti da tale giudice si evince, tuttavia,
che esso cerca di determinare, più in generale, se il trattamento dei dati
personali di cui trattasi nel procedimento principale possa essere considerato
lecito alla luce di tutte le disposizioni di tale regolamento e, in
particolare, alla luce del principio di proporzionalità.
98 Ne
consegue che occorre tener conto, nella risposta da fornire a tale giudice,
anche degli altri principi enunciati all’articolo 5, paragrafo 1, di detto
regolamento, in particolare, del principio di «minimizzazione dei dati» di cui
alla lettera c) di tale disposizione, secondo cui i dati personali devono
essere adeguati, pertinenti e limitati a quanto necessario rispetto alle
finalità per le quali sono trattati e che dà espressione al suddetto principio
di proporzionalità (v., in tal senso, sentenza dell’11 dicembre 2019, Asociația
de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, punto 48).
99 Per
quanto riguarda i principi relativi alla liceità del trattamento, l’articolo 6
del RGPD prevede un elenco esaustivo e tassativo dei casi nei quali un
trattamento dei dati personali può essere considerato lecito. Pertanto, per
poter essere considerato lecito, un trattamento deve rientrare in uno dei casi
previsti da detto articolo 6 (v., in tal senso, sentenza dell’11 dicembre 2019,
Asociația de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064,
punti 37 e 38). Al riguardo, il trattamento dei dati personali di cui trattasi
nel procedimento principale, ossia la comunicazione al pubblico dei dati
relativi ai punti di penalità inflitti per infrazioni stradali, effettuata
dalla CSDD, può rientrare nell’ambito di applicazione dell’articolo 6,
paragrafo 1, lettera e), del RGPD, in forza del quale il trattamento è lecito
se e nella misura in cui è «necessario per l’esecuzione di un compito di
interesse pubblico o connesso all’esercizio di pubblici poteri di cui è
investito il titolare del trattamento».
100 Inoltre,
dal momento che, come constatato al punto 94 della presente sentenza, i dati
personali relativi ai punti di penalità inflitti ai conducenti di veicoli per
infrazioni stradali rientrano nell’ambito di applicazione dell’articolo 10 del
RGPD, il loro trattamento è soggetto alle restrizioni aggiuntive previste da
tale disposizione. Pertanto, conformemente a detta disposizione, il trattamento
di tali dati «deve avvenire soltanto sotto il controllo dell’autorità
pubblica», a meno che esso non sia «autorizzato dal diritto dell’Unione o degli
Stati membri che preveda garanzie appropriate per i diritti e le libertà degli
interessati». La suddetta disposizione precisa, inoltre, che «[u]n eventuale
registro completo delle condanne penali deve essere tenuto soltanto sotto il
controllo dell’autorità pubblica».
101 Nel caso
di specie, è pacifico che il trattamento dei dati personali di cui trattasi nel
procedimento principale, ossia la comunicazione al pubblico dei dati relativi
ai punti di penalità inflitti per infrazioni stradali, è effettuato da un
organismo pubblico, la CSDD, che è il responsabile del trattamento ai sensi
dell’articolo 4, punto 7, del RGPD (v., per analogia, sentenza del 9 marzo
2017, Manni, C‑398/15, EU:C:2017:197, punto 35). Tuttavia, è parimenti
pacifico che, una volta comunicati, tali dati vengono consultati dalle persone
che ne hanno richiesto la comunicazione e, se del caso, sono conservati o
diffusi da tali persone. Dal momento che tali trattamenti successivi di dati
non sono più effettuati «sotto il controllo» della CSDD o di un’altra autorità
pubblica, il diritto nazionale che autorizza la comunicazione di tali dati da
parte della CSDD deve prevedere «garanzie appropriate per i diritti e le
libertà degli interessati».
102 Pertanto,
è alla luce tanto delle condizioni generali di liceità – in particolare
quelle previste dall’articolo 5, paragrafo 1, lettera c), e dall’articolo 6,
paragrafo 1, lettera e), del RGPD – quanto delle restrizioni particolari
previste all’articolo 10 di quest’ultimo, che occorre esaminare la conformità
di una normativa nazionale, come quella in questione nel procedimento
principale, con tale regolamento.
103 Al
riguardo, si deve constatare che nessuna di tali disposizioni vieta in maniera
generale ed assoluta che, in virtù di una normativa nazionale, un’autorità
pubblica sia autorizzata, se non addirittura obbligata, a comunicare dati
personali alle persone che ne fanno richiesta.
104 Se è
vero, infatti, che l’articolo 5, paragrafo 1, lettera c), del RGPD subordina al
rispetto del principio di «minimizzazione dei dati» il trattamento dei dati
personali, risulta chiaramente, tuttavia, dalla formulazione di tale
disposizione che essa non è volta a istituire un simile divieto generale e
assoluto e che, in particolare, essa non osta a che vengano comunicati dati
personali al pubblico quando tale comunicazione è necessaria per l’esecuzione
di un compito di interesse pubblico o connesso all’esercizio di pubblici
poteri, ai sensi dell’articolo 6, paragrafo 1, lettera e), di tale regolamento.
Lo stesso vale qualora i dati in questione rientrino nell’ambito di
applicazione dell’articolo 10 del RGPD, purché la normativa che autorizza tale
comunicazione preveda garanzie appropriate per i diritti e le libertà degli
interessati [v., in tal senso, sentenza del 24 settembre 2019, GC e a.
(Deindicizzazione di dati sensibili), C‑136/17, EU:C:2019:773, punto 73].
105 In tale
contesto, occorre ricordare che i diritti fondamentali al rispetto della vita
privata e alla protezione dei dati personali non sono prerogative assolute, ma
vanno considerati alla luce della loro funzione sociale e bilanciati con altri
diritti fondamentali. Limitazioni possono quindi essere apportate, a condizione
che, conformemente all’articolo 52, paragrafo 1, della Carta, esse siano
previste dalla legge e che rispettino il contenuto essenziale dei diritti
fondamentali nonché il principio di proporzionalità. In virtù di tale
principio, possono essere apportate limitazioni solo laddove siano necessarie e
rispondano effettivamente a finalità di interesse generale riconosciute
dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui. Esse
devono operare nei limiti dello stretto necessario e la normativa che comporta
l’ingerenza deve prevedere norme chiare e precise che disciplinano la portata e
l’applicazione della misura in questione (v., in tal senso, sentenza del 16
luglio 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559, punti
da 172 a 176).
106 Pertanto,
al fine di determinare se una comunicazione al pubblico di dati personali
relativi ai punti di penalità, come quella in questione nel procedimento
principale, sia necessaria per l’esecuzione di un compito di interesse pubblico
o connesso all’esercizio di pubblici poteri, ai sensi dell’articolo 6,
paragrafo 1, lettera e), del RGPD, e se la normativa che autorizza una simile
comunicazione preveda garanzie appropriate per i diritti e le libertà degli
interessati, ai sensi dell’articolo 10 di tale regolamento, occorre verificare
in particolare se, alla luce della gravità dell’ingerenza nei diritti
fondamentali al rispetto della vita privata e alla protezione dei dati
personali causata da tale comunicazione, quest’ultima risulti giustificata e,
in particolare, proporzionata, ai fini della realizzazione degli obiettivi
perseguiti.
107 Nella
caso di specie, il Parlamento lettone, nelle sue osservazioni dinanzi al
giudice del rinvio, e il governo lettone, nelle sue osservazioni dinanzi alla
Corte, sostengono che la comunicazione da parte della CSDD, a qualsiasi persona
che ne faccia richiesta, dei dati personali relativi ai punti di penalità
rientra nel compito di interesse pubblico, attribuito a tale ente, di
migliorare la sicurezza stradale e, in tale contesto, è volta, segnatamente, a
consentire l’identificazione dei conducenti di veicoli che violano
sistematicamente le norme sulla circolazione stradale e a incidere sul
comportamento degli utenti della strada, inducendoli a comportarsi
conformemente a tali norme.
108 Al
riguardo, si deve ricordare che il miglioramento della sicurezza stradale
costituisce un obiettivo di interesse generale riconosciuto dall’Unione (v., in
tal senso, sentenza del 23 aprile 2015, Aykul, C‑260/13, EU:C:2015:257,
punto 69 e giurisprudenza ivi citata). Gli Stati membri sono quindi legittimati
a qualificare la sicurezza stradale come «compito di interesse pubblico», ai
sensi dell’articolo 6, paragrafo 1, lettera e), del RGPD.
109 Tuttavia,
al fine di rispettare le condizioni previste da quest’ultima disposizione, è
necessario che la comunicazione dei dati personali relativi ai punti di
penalità iscritti nel registro tenuto dalla CSDD risponda effettivamente
all’obiettivo di interesse generale di migliorare la sicurezza stradale, senza
eccedere quanto necessario per conseguire tale obiettivo.
110 Come
evidenziato dal considerando 39 del RGPD, tale requisito di necessità non è
soddisfatto quando l’obiettivo di interesse generale considerato può
ragionevolmente essere raggiunto in modo altrettanto efficace mediante altri
mezzi meno pregiudizievoli per i diritti fondamentali degli interessati, in
particolare per i diritti al rispetto della vita privata e alla protezione dei
diritti personali garantiti agli articolo 7 e 8 della Carta, atteso che le
deroghe e le restrizioni al principio della protezione di simili dati devono
avere luogo nei limiti dello stretto necessario (v., in tal senso, sentenza
dell’11 dicembre 2019, Asociația de Proprietari bloc M5A-ScaraA, C‑708/18,
EU:C:2019:1064, punti 46 e 47).
111 Orbene,
come risulta dalla prassi degli Stati membri, ciascuno di essi dispone di
diverse linee d’azione, tra cui, in particolare, quella di reprimere le infrazioni
stradali in modo dissuasivo, in particolare privando i conducenti interessati
del diritto di guidare un veicolo, laddove la violazione di un siffatto divieto
è a sua volta punibile con sanzioni efficaci, senza che occorra comunicare al
pubblico l’adozione di simili misure. Da tale prassi si evince altresì che si
possono adottare, inoltre, numerose misure preventive – dalle campagne di
sensibilizzazione collettiva all’adozione di misure individuali consistenti
nell’obbligare il conducente a seguire corsi e a sostenere esami – senza
che sia necessario comunicare al pubblico l’adozione di tali misure
individuali. Orbene, non risulta dal fascicolo di cui dispone la Corte che
misure del genere fossero state esaminate e preferite dal legislatore lettone in
luogo dell’adozione della normativa in questione nel procedimento principale.
112 Per di
più, come rilevato al punto 92 della presente sentenza, la comunicazione al
pubblico dei dati personali relativi alle infrazioni stradali, compresi i dati
relativi ai punti di penalità inflitti per la loro commissione, può costituire
una grave ingerenza nei diritti fondamentali al rispetto della vita privata e
alla protezione dei dati personali, poiché essa può suscitare la
disapprovazione sociale e comportare la stigmatizzazione della persona
interessata.
113 Tenuto
conto, da un lato, della sensibilità dei dati in questione e della gravità di
detta ingerenza nei diritti fondamentali al rispetto della vita privata e alla
protezione dei dati personali degli interessati nonché, dall’altro, del fatto
che, alla luce delle constatazioni di cui al punto 111 della presente sentenza,
non risulta che l’obiettivo di migliorare la sicurezza stradale non possa
essere ragionevolmente conseguito in modo altrettanto efficace con altri mezzi
meno lesivi, non si può ritenere dimostrato che un siffatto sistema di
comunicazione dei dati personali relativi ai punti di penalità inflitti per
infrazioni stradali sia necessario per raggiungere il suddetto obiettivo (v.,
per analogia, sentenza del 9 novembre 2010, Volker und Markus Schecke e Eifert,
C‑92/09 e C‑93/09, EU:C:2010:662, punto 86).
114 Pertanto,
se è vero che può essere giustificato distinguere i conducenti che
sistematicamente ed intenzionalmente violano le norme sulla circolazione
stradale dai conducenti che commettono delle infrazioni occasionali, non si può
tuttavia ritenere che l’identificazione della prima categoria di tali
conducenti debba, ai fini del miglioramento della sicurezza stradale, essere
effettuata dal grande pubblico o condivisa con quest’ultimo, di modo che si può
persino dubitare dell’idoneità della normativa di cui trattasi nel procedimento
principale a conseguire il primo degli obiettivi richiamati al punto 107 della
presente sentenza.
115 Del
resto, dal fascicolo di cui dispone la Corte si evince che la CSDD comunica al
pubblico non solo i dati relativi ai punti di penalità inflitti ai conducenti
che violano sistematicamente ed intenzionalmente le norme sulla circolazione
stradale, ma anche i dati relativi ai punti di penalità inflitti ai conducenti
che commettono infrazioni occasionali. Risulta quindi che, prevedendo un
accesso generalizzato del pubblico ai punti di penalità, la normativa in
questione nel procedimento principale eccede, in ogni caso, quanto necessario
per garantire l’obiettivo della lotta contro l’inosservanza sistematica ed
intenzionale delle norme sulla circolazione stradale.
116 Per
quanto riguarda il secondo degli obiettivi perseguiti dalla normativa in
questione nel procedimento principale, ricordato al punto 107 della presente
sentenza, da detto fascicolo emerge che, sebbene in Lettonia sia stata
osservata una tendenza alla riduzione del numero di incidenti stradali, nulla
consente di concludere che tale tendenza sia legata alla divulgazione delle
informazioni relative ai punti di penalità piuttosto che all’istituzione di per
sé del sistema dei punti di penalità.
117 La
conclusione enunciata al punto 113 della presente sentenza non è inficiata dal
fatto che la CSDD subordini, nella pratica, la comunicazione dei dati personali
in questione alla condizione che il richiedente indichi il numero di
identificazione nazionale del conducente su cui intende ottenere informazioni.
118 Anche
supponendo, infatti, come precisato dal governo lettone, che la comunicazione
dei numeri di identificazione nazionale da parte degli organismi pubblici
incaricati di tenere i registri della popolazione sia soggetta a requisiti
rigorosi e sia quindi conforme all’articolo 87 del RGPD, resta nondimeno il
fatto che la normativa in questione nel procedimento principale, come applicata
dalla CSDD, consente a chiunque conosca il numero di identificazione nazionale
di un determinato conducente di ottenere, senza altre condizioni, i dati
personali relativi ai punti di penalità inflitti a tale conducente. Un simile
regime di divulgazione può portare a una situazione in cui tali dati sono
comunicati a persone che, per ragioni estranee all’obiettivo di interesse
generale di migliorare la sicurezza stradale, cercano di ottenere informazioni
sui punti di penalità inflitti a una determinata persona.
119 La
conclusione enunciata al punto 113 della presente sentenza non è inficiata
neppure dalla circostanza che il registro nazionale dei veicoli e dei
conducenti è un documento ufficiale ai sensi dell’articolo 86 del RGPD.
120 Sebbene
l’accesso del pubblico ai documenti ufficiali costituisca, infatti, come si
evince dal considerando 154 di tale regolamento, un interesse pubblico che può
legittimare la comunicazione di dati personali che figurano in tali documenti,
tale accesso deve nondimeno conciliarsi con i diritti fondamentali al rispetto
della vita privata e alla protezione dei dati personali, come del resto
richiesto espressamente da detto articolo 86. Orbene, in considerazione,
segnatamente, della sensibilità dei dati relativi ai punti di penalità inflitti
per infrazioni stradali e della gravità dell’ingerenza nei diritti fondamentali
al rispetto della vita privata e alla protezione dei dati personali degli interessati,
che la divulgazione di tali dati provoca, occorre ritenere che detti diritti
prevalgano sull’interesse del pubblico ad avere accesso ai documenti ufficiali,
in particolare al registro nazionale dei veicoli e dei conducenti.
121 Inoltre,
per questa medesima ragione, il diritto alla libertà d’informazione di cui
all’articolo 85 del RGPD non può essere interpretato nel senso che esso
giustifica la comunicazione a qualsiasi persona che ne faccia richiesta di dati
personali relativi ai punti di penalità inflitti per infrazioni stradali.
122 Alla
luce di tutto quanto precede, occorre rispondere alla seconda questione
dichiarando che le disposizioni del RGPD, in particolare l’articolo 5,
paragrafo 1, l’articolo 6, paragrafo 1, lettera e), e l’articolo 10 del
medesimo, devono essere interpretate nel senso che esse ostano a una normativa
nazionale che obbliga l’organismo pubblico responsabile del registro in cui
sono iscritti i punti di penalità inflitti ai conducenti di veicoli per
infrazioni stradali a rendere tali dati accessibili al pubblico senza che la
persona che richiede l’accesso sia tenuta a dimostrare un interesse specifico
all’ottenimento di tali dati.
Sulla
terza questione
123 Con la
sua terza questione, il giudice del rinvio chiede, in sostanza, se le
disposizioni del RGPD, in particolare l’articolo 5, paragrafo 1, lettera b), e
l’articolo 10 del medesimo, nonché l’articolo 1, paragrafo 2, lettera
c quater), della direttiva 2003/98, debbano essere interpretate nel senso
che esse ostano a una normativa nazionale che autorizza l’organismo pubblico
responsabile del registro in cui sono iscritti i punti di penalità inflitti ai
conducenti di veicoli per infrazioni stradali a comunicare tali dati ad
operatori economici a fini di riutilizzo.
124 Come
evidenziato dal giudice del rinvio, tale questione scaturisce dal fatto che la
CSDD conclude con gli operatori economici contratti in base ai quali la prima
trasmette ai secondi i dati personali relativi ai punti di penalità iscritti
nel registro nazionale dei veicoli e dei conducenti, di modo che, segnatamente,
chiunque intenda ottenere informazioni sui punti di penalità inflitti a un
determinato conducente può ottenere tali dati non solo dalla CSDD, ma anche da
detti operatori economici.
125 Dalla
risposta alla seconda questione risulta che le disposizioni del RGPD, in
particolare l’articolo 5, paragrafo 1, l’articolo 6, paragrafo 1, lettera e), e
l’articolo 10 del medesimo, devono essere interpretate nel senso che esse
ostano a una normativa nazionale che obbliga l’organismo pubblico responsabile
del registro in cui sono iscritti i punti di penalità inflitti ai conducenti di
veicoli per infrazioni stradali a rendere tali dati accessibili al pubblico,
senza che il richiedente l’accesso sia tenuto a dimostrare un interesse
specifico all’ottenimento di detti dati.
126 Per le
medesime ragioni esposte in risposta alla seconda questione, queste medesime
disposizioni devono essere interpretate nel senso che esse ostano anche a una
normativa nazionale che autorizza un organismo pubblico a comunicare dati di
tale natura ad operatori economici affinché questi ultimi possano riutilizzarli
e comunicarli al pubblico.
127 Infine,
per quanto riguarda l’articolo 1, paragrafo 2, lettera c quater), della direttiva
2003/98, anch’esso oggetto della terza questione sollevata, occorre constatare,
come rilevato dall’avvocato generale ai paragrafi 128 e 129 delle sue
conclusioni, che tale disposizione non è rilevante al fine di determinare se le
norme del diritto dell’Unione in materia di protezione dei dati personali
ostino a una normativa come quella di cui trattasi nel procedimento principale.
128 Infatti,
a prescindere dal fatto che i dati relativi ai punti di penalità inflitti ai
conducenti per infrazioni stradali rientrino o meno nell’ambito di applicazione
della direttiva 2003/98, la portata della protezione di tali dati deve, in ogni
caso, essere determinata sul fondamento del RGPD, come risulta, da un lato, dal
considerando 154 di tale regolamento e, dall’altro, dal considerando 21 e
dall’articolo 1, paragrafo 4, della suddetta direttiva, in combinato disposto
con l’articolo 94, paragrafo 2, del RGPD, atteso che l’articolo 1, paragrafo 4,
della direttiva in parola prevede, in sostanza, che quest’ultima non pregiudica
in alcun modo il livello di tutela delle persone fisiche con riguardo al
trattamento dei dati personali ai sensi delle disposizioni di diritto
dell’Unione e non modifica, in particolare, i diritti e gli obblighi previsti
dal RGPD.
129 Alla
luce di quanto precede, occorre rispondere alla terza questione dichiarando che
le disposizioni del RGPD, in particolare l’articolo 5, paragrafo 1, l’articolo
6, paragrafo 1, lettera e), e l’articolo 10 del medesimo, devono essere
interpretate nel senso che esse ostano a una normativa nazionale che autorizza
l’organismo pubblico responsabile del registro nel quale sono iscritti i punti
di penalità inflitti ai conducenti di veicoli per infrazioni stradali a
comunicare tali dati a operatori economici a fini di riutilizzo.
Sulla
quarta questione
130 Con la
sua quarta questione, il giudice del rinvio chiede, in sostanza, se il
principio del primato del diritto dell’Unione debba essere interpretato nel
senso che esso osta a che il giudice costituzionale di uno Stato membro,
investito di un ricorso avverso una normativa nazionale che risulta, alla luce
di una decisione della Corte pronunciata su rinvio pregiudiziale, incompatibile
con il diritto dell’Unione, decida, in applicazione del principio della certezza
del diritto, che gli effetti giuridici di tale normativa sono mantenuti fino
alla data della pronuncia della sentenza con cui esso statuisce definitivamente
su tale ricorso costituzionale.
131 Come
risulta dalla decisione di rinvio, tale questione è posta a causa del numero
elevato di rapporti giuridici interessati dalla normativa nazionale di cui
trattasi nel procedimento principale e per via del fatto che, in forza
dell’articolo 32, paragrafo 3, della legge sulla Corte costituzionale e della
relativa giurisprudenza, il giudice del rinvio, nell’esercizio del suo compito
di garantire l’equilibrio tra il principio della certezza del diritto e i
diritti fondamentali degli interessati, può limitare l’effetto retroattivo
delle sue sentenze al fine di evitare che queste ultime pregiudichino
gravemente i diritti altrui.
132 Al
riguardo, occorre ricordare che l’interpretazione che la Corte fornisce delle
norme del diritto dell’Unione nell’esercizio della competenza attribuitale
dall’articolo 267 TFUE chiarisce e precisa il significato e la portata
delle norme stesse, nel senso in cui devono o avrebbero dovuto essere intese e
applicate sin dal momento della loro entrata in vigore. Solo in via del tutto
eccezionale la Corte, applicando il principio generale della certezza del
diritto inerente all’ordinamento giuridico dell’Unione, può essere indotta a
limitare la possibilità per gli interessati di far valere una disposizione da
essa interpretata onde rimettere in discussione rapporti giuridici costituiti
in buona fede. Affinché una tale limitazione possa essere disposta, è
necessario che siano soddisfatti due criteri essenziali, vale a dire la buona
fede degli ambienti interessati e il rischio di gravi inconvenienti (sentenze
del 6 marzo 2007, Meilicke, C‑292/04, EU:C:2007:132, punti 34 e 35; del
22 gennaio 2015, Balazs, C‑401/13 e C‑432/13, EU:C:2015:26, punti
49 e 50, e del 29 settembre 2015, Gmina Wrocław, C‑276/14,
EU:C:2015:635, punti 44 e 45).
133 Secondo
costante giurisprudenza della Corte, una simile limitazione può essere ammessa
unicamente nella sentenza stessa che statuisce sull’interpretazione richiesta.
È infatti necessario che ci sia un momento unico di determinazione degli
effetti nel tempo dell’interpretazione richiesta alla Corte e da quest’ultima
fornita in merito ad una disposizione di diritto dell’Unione. Il principio
secondo cui una limitazione può essere ammessa solo nella sentenza stessa che
statuisce sull’interpretazione richiesta garantisce la parità di trattamento
degli Stati membri e degli altri soggetti dell’ordinamento nei confronti di
tale diritto e rispetta, allo stesso modo, gli obblighi derivanti dal principio
della certezza del diritto (sentenza del 6 marzo 2007, Meilicke, C‑292/04,
EU:C:2007:132, punti 36 e 37; v., in tal senso, sentenze del 23 ottobre 2012,
Nelson e a., C‑581/10 e C‑629/10, EU:C:2012:657, punto 91, e
del 7 novembre 2018, O’Brien, C‑432/17, EU:C:2018:879, punto 34).
134 Di
conseguenza, gli effetti nel tempo di una decisione della Corte di giustizia
pronunciata su rinvio pregiudiziale non possono dipendere dalla data di
pronuncia della sentenza con cui il giudice nazionale statuisce definitivamente
sul procedimento principale, e nemmeno dalla valutazione di quest’ultimo sulla
necessità di preservare gli effetti giuridici della normativa nazionale in
questione.
135 In forza
del principio del primato del diritto dell’Unione, non possono, infatti, essere
ammesse norme di diritto nazionale, quand’anche di rango costituzionale, che
pregiudicano l’unità e l’efficacia di tal diritto (v., in tal senso, sentenze
del 26 febbraio 2013, Melloni, C‑399/11, EU:C:2013:107, punto 59, e del
29 luglio 2019, Pelham e a., C‑476/17, EU:C:2019:624, punto 78).
Anche supponendo che considerazioni imperative di certezza del diritto siano
tali da indurre, in via eccezionale, a sospendere provvisoriamente l’effetto
preclusivo di una norma del diritto dell’Unione direttamente applicabile
rispetto al diritto nazionale che è contrario a tale norma, le condizioni di
tale sospensione possono essere determinate solo dalla Corte (v., in tal senso,
sentenza dell’8 settembre 2010, Winner Wetten, C‑409/06, EU:C:2010:503,
punti 61 e 67).
136 Nel caso
di specie, non essendo stata dimostrata l’esistenza del rischio di gravi
inconvenienti derivante dall’interpretazione adottata dalla Corte nella
presente sentenza, non occorre limitarne gli effetti nel tempo, atteso che i
criteri richiamati al punto 132 della presente sentenza sono cumulativi.
137 Alla
luce di quanto precede, occorre rispondere alla quarta questione dichiarando
che il principio del primato del diritto dell’Unione deve essere interpretato
nel senso che esso osta a che il giudice costituzionale di uno Stato membro,
investito di un ricorso avverso una normativa nazionale che si rivela, alla
luce di una decisione della Corte pronunciata su rinvio pregiudiziale,
incompatibile con il diritto dell’Unione, decida, in applicazione del principio
della certezza del diritto, che gli effetti giuridici di tale normativa sono
mantenuti fino alla data della pronuncia della sentenza con la quale esso
statuisce definitivamente su tale ricorso costituzionale.
Sulle
spese
138 Nei
confronti delle parti nel procedimento principale la presente causa costituisce
un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire
sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni
alla Corte non possono dar luogo a rifusione.
Per
questi motivi, la Corte (Grande Sezione) dichiara:
1) L’articolo
10 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27
aprile 2016, relativo alla protezione delle persone fisiche con riguardo al
trattamento dei dati personali, nonché alla libera circolazione di tali dati e
che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei
dati), deve essere interpretato nel senso che esso si applica al trattamento
dei dati personali relativi ai punti di penalità inflitti ai conducenti di
veicoli per infrazioni stradali.
2) Le
disposizioni del regolamento (UE) 2016/679, in particolare l’articolo 5,
paragrafo 1, l’articolo 6, paragrafo 1, lettera e), e l’articolo 10 del
medesimo, devono essere interpretate nel senso che esse ostano a una normativa
nazionale che obbliga l’organismo pubblico responsabile del registro in cui
sono iscritti i punti di penalità inflitti ai conducenti di veicoli per
infrazioni stradali a rendere tali dati accessibili al pubblico senza che la
persona che richiede l’accesso sia tenuta a dimostrare un interesse specifico
all’ottenimento di tali dati.
3) Le
disposizioni del regolamento (UE) 2016/679, in particolare l’articolo 5,
paragrafo 1, l’articolo 6, paragrafo 1, lettera e), e l’articolo 10 del
medesimo, devono essere interpretate nel senso che esse ostano a una normativa
nazionale che autorizza l’organismo pubblico responsabile del registro nel
quale sono iscritti i punti di penalità inflitti ai conducenti di veicoli per
infrazioni stradali a comunicare tali dati a operatori economici a fini di
riutilizzo.
4) Il
principio del primato del diritto dell’Unione deve essere interpretato nel
senso che esso osta a che il giudice costituzionale di uno Stato membro,
investito di un ricorso avverso una normativa nazionale che si rivela, alla
luce di una decisione della Corte pronunciata su rinvio pregiudiziale,
incompatibile con il diritto dell’Unione, decida, in applicazione del principio
della certezza del diritto, che gli effetti giuridici di tale normativa sono
mantenuti fino alla data della pronuncia della sentenza con la quale esso
statuisce definitivamente su tale ricorso costituzionale.
Firme
* Lingua processuale: il
lettone.