La CGUE sulle nozioni di «trattamento dei dati personali» e «titolare del trattamento», nonché sulla responsabilità del titolare del trattamento

La Grande Sezione della Corte di Giustizia dell’Unione Europea, con sentenza del 5 dicembre 2023, pronunciata nella causa C-683/21, ha chiarito l’interpretazione dell’articolo 4, punti 2 e 7, dell’articolo 26, paragrafo 1, e dell’articolo 83, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

Può essere considerato titolare del trattamento, ai sensi dell’art. 4 punto 7, un ente che ha incaricato un’impresa di sviluppare un’applicazione informatica mobile e che, in tale contesto, ha partecipato alla determinazione delle finalità e dei mezzi del trattamento dei dati personali effettuato mediante tale applicazione, anche se tale ente non ha proceduto, esso stesso, a operazioni di trattamento di tali dati, non ha dato esplicitamente il proprio consenso alla realizzazione delle operazioni concrete di un siffatto trattamento o alla messa a disposizione del pubblico di detta applicazione mobile e non ha acquisito quella stessa applicazione mobile, salvo che, prima di tale messa a disposizione nei confronti del pubblico, il suddetto ente si sia espressamente opposto ad essa e al trattamento dei dati personali che ne è derivato.

Invero, l’art. 4, punto 7, del regolamento generale sulla protezione dei dati (in prosieguo: il «RGPD») definendo in modo ampio la nozione di «titolare del trattamento», ha come obiettivo quello di assicurare un’efficace protezione dei diritti e delle libertà fondamentali, nonché, garantire la protezione del diritto di qualsiasi persona alla tutela dei dati personali che la riguardano (v., in tal senso, sentenze del 29 luglio 2019, Fashion ID, C-40/17, EU:C:2019:629, punto 66, e del 28 aprile 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, punto 73, e la giurisprudenza ivi citata).

La qualificazione di due enti come contitolari del trattamento ai sensi del combinato disposto dell'art. 4, punto 7 e dell'art. 25, par. 1 del RGPD, invece, non presuppone né l’esistenza di un accordo tra di essi sulla determinazione delle finalità e dei mezzi del trattamento dei dati personali di cui trattasi né l’esistenza di un accordo che fissi le condizioni relative alla contitolarità del trattamento.

La qualificazione di due enti come contitolari del trattamento deriva dal solo fatto che molteplici enti hanno partecipato alla determinazione delle finalità e dei mezzi del trattamento, questo poiché l’esistenza di un siffatto accordo costituisce un obbligo che tale art. 26 paragrafo 1 impone ai contitolari del trattamento al fine di garantire il rispetto dei requisiti del RGPD gravanti su di essi.

Costituisce un «trattamento», ai sensi dell’art. 4, punto 2, del RGPD l’uso di dati personali a fini di test informatici di un’applicazione mobile, salvo che tali dati siano stati resi anonimi in modo da impedire o da non consentire più l’identificazione dell’interessato o che si tratti di dati fittizi che non si riferiscono a una persona fisica esistente.

A tal riguardo, l’art. 4, punto 2, del RGPD definisce la nozione di «trattamento» in un elenco non tassativo. Tuttavia, solo un trattamento che riguarda «dati personali» costituisce un «trattamento», ai sensi dell’art. 4, punto 2, del RGPD.

Infine, una sanzione amministrativa pecuniaria può essere irrogata, ai sensi dell’art.83 del RGPD, solo se sia accertato che il titolare del trattamento ha commesso, con dolo o colpa, una violazione di cui ai paragrafi da 4 a 6 di detto articolo e, una sanzione pecuniaria siffatta può essere inflitta a un titolare del trattamento in relazione a operazioni di trattamento di dati personali effettuate per suo conto da un responsabile del trattamento, salvo che, nell’ambito di tali operazioni, detto responsabile del trattamento abbia effettuato trattamenti per finalità che gli sono proprie o abbia trattato tali dati in modo incompatibile con il quadro o le modalità del trattamento quali erano stati determinati dal titolare del trattamento o in modo tale che non si può ragionevolmente ritenere che tale titolare abbia a ciò acconsentito.