I chiarimenti della CGUE sul principio di compatibilità tra finalità del trattamento: commento alla causa C-77/21
La Corte ha fornito alcune indicazioni anche circa la valutazione di compatibilità tra finalità del trattamento di dati personali, un istituto – ancora poco approfondito – che permetterebbe al titolare di un trattamento secondario di beneficiare della condizione di legittimità del trattamento iniziale ove sia accertato che la finalità dell'ulteriore trattamento sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti
Il 20 ottobre 2022 la prima sezione della Corte di Giustizia dell'Unione europea si è pronunciata sull'interpretazione dei principi di limitazione della finalità e di limitazione della conservazione dettati, come è noto, dall'art. 5, 1° comma, lett. b) ed e) del Regolamento (UE) 2016/679 (nel prosieguo, per brevità, "GDPR").
In questa occasione, la Corte ha fornito alcune indicazioni anche circa la valutazione di compatibilità tra finalità del trattamento di dati personali, un istituto – ancora poco approfondito – che permetterebbe al titolare di un trattamento secondario di beneficiare della condizione di legittimità del trattamento iniziale ove sia accertato che la finalità dell'ulteriore trattamento sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti.
Il principio di compatibilità
Come è noto, il GDPR detta le condizioni di legittimità per il trattamento di dati personali e di categorie particolari di dati, rispettivamente, agli artt. 6 e 9. Tra queste, il consenso dell'interessato è senz'altro la base giuridica più nota, ma anche l'esecuzione di un contratto, il perseguimento di un compito di interesse pubblico o il legittimo interesse del titolare del trattamento di dati personali possono costituire, a seconda dei casi, valide ed equipollenti condizioni di legittimità del trattamento.
L'articolo 6 del Regolamento, tuttavia, non si esaurisce con l'elencazione di queste condizioni, bensì al 4° comma introduce un istituto che sino ad oggi è stato tenuto poco in considerazione.Si tratta del principio di compatibilità tra le finalità del trattamento a cui il GDPR dedica anche il considerando n. 50 che precisamente recita: "il trattamento dei dati personali per finalità diverse da quelle per le quali i dati personali sono stati inizialmente raccolti dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti. In tal caso non è richiesta alcuna base giuridica separata oltre a quella che ha consentito la raccolta dei dati personali".
Affinché tale istituto operi e sia accertata la compatibilità tra le finalità del trattamento (quello iniziale e quello secondario), occorre verificare alcune circostanze che il GDPR riporta apparentemente in via esemplificativa e non esaustiva. In particolare, ai sensi dell'art. 6, 4° comma del GDPR, occorre tenere conto di:
a) ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell'ulteriore trattamento previsto;
b) il contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l'interessato e il titolare del trattamento;
c) la natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell'art. 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell'art.10;
d) le possibili conseguenze dell'ulteriore trattamento previsto per gli interessati;
e) l'esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.Come per il legittimo interesse, anche in questo caso la valutazione è rimessa in capo al titolare del trattamento, nel solco del principio di accountability che informa l'intero GDPR.
È dunque il titolare del trattamento a rispondere e a essere responsabile dell'iter logico e argomentativo su cui eventualmente fonderà il proprio giudizio di compatibilità.La disposizione in esame non ha ricevuto sino ad oggi particolare attenzione – se ne rinviene un'analisi solo in una opinion del Gruppo Art. 29 risalente al 2013 –, per questo motivo merita una riflessione l'interpretazione che la Corte di Giustizia ha voluto offrire con la pronuncia in commento.
La causa C-77/21
Il principio di compatibilità appena illustrato è stato preso in considerazione dai giudici lussemburghesi per valutare se la registrazione e la conservazione, in una banca dati di nuova creazione, di dati personali conservati in un'altra banca dati (dello stesso titolare del trattamento) costituissero un "ulteriore trattamento" di tali dati.
Il caso concerneva uno dei principali fornitori di servizi Internet e di telediffusione in Ungheria che, a seguito di un guasto tecnico ai server centrali, aveva creato una banca dati parallela alimentata con la copia di dati personali dei propri utenti inizialmente raccolti al fine di gestire la conclusione e l'esecuzione dei contratti di abbonamento.Questa banca dati, avente l'esclusiva finalità di consentire l'esecuzione di test e la correzione di errori tecnici, era stata poi oggetto di violazione dei dati personali derivante da un attacco hacker, a seguito del quale il fornitore aveva provveduto alla notifica del data breach al Garante privacy ungherese.
Quest'ultimo, ritenendo che il fornitore avesse conservato illegittimamente la banca dati di test una volta esaurita la finalità per la quale era stata creata, irrogava una sanzione pari a circa 248.000,00 euro, avverso la quale il fornitore proponeva ricorso dinanzi alla Corte di Budapest.
Tale autorità, tuttavia, sospendeva il procedimento e sottoponeva alla Corte di Giustizia dell'Unione europea le seguenti questioni pregiudiziali:
1."se la nozione di limitazione della finalità debba essere interpretata nel senso che è conforme con tale nozione il fatto che il titolare del trattamento conservi parallelamente, in un'altra banca dati, alcuni dati personali che sono stati peraltro raccolti e conservati per una finalità legittima limitata o, al contrario, per quanto riguarda la banca dati parallela, nel senso che la finalità legittima limitata della raccolta dei dati non è più valida; 2 .qualora la risposta alla prima questione pregiudiziale sia che la conservazione parallela dei dati risulta di per sé incompatibile con il principio della limitazione della finalità, se sia compatibile con il principio della limitazione della conservazione il fatto che il titolare del trattamento conservi parallelamente in un'altra banca dati alcuni dati personali che sono stati peraltro raccolti e conservati per una finalità legittima limitata".
L'interpretazione della CGUE
Relativamente alla prima questione, la CGUE ricorda che, secondo il principio di limitazione della finalità, i dati personali devono, da un lato, essere raccolti per finalità determinate, esplicite e legittime e, dall'altro, essere successivamente trattati in modo che non sia incompatibile con tali finalità.
A quest'ultimo riguardo, i giudici della CGUE forniscono un'interpretazione del principio di compatibilità, offrendo alcuni chiarimenti circa l'estensione con cui tale istituto può essere impiegato. La CGUE afferma infatti che i criteri delineati all'art. 6, 4° comma del GDPR "riflettono la necessità di un nesso concreto, logico e sufficientemente stretto tra le finalità della raccolta iniziale dei dati personali e l'ulteriore trattamento di tali dati, e consentono di assicurarsi che tale ulteriore trattamento non si discosti dalle legittime aspettative degli abbonati quanto all'ulteriore utilizzo dei loro dati. Tali criteri consentono (…) di inquadrare il riutilizzo di dati personali precedentemente raccolti garantendo un equilibrio tra, da un lato, la necessità di prevedibilità e di certezza del diritto riguardo alle finalità del trattamento di dati personali in precedenza raccolti e, dall'altro, il riconoscimento di una certa flessibilità a favore del titolare del trattamento nella gestione di tali dati, e contribuiscono così alla realizzazione dell'obiettivo consistente nell'assicurare un livello coerente ed elevato di protezione delle persone fisiche".
Sulla base di tale interpretazione, nonostante rimettano al giudice nazionale la competenza circa la determinazione, nel caso di specie, delle finalità iniziali e di quelle secondarie, nonché la verifica della compatibilità tra queste, i giudici europei ritengono compatibile il trattamento ulteriore effettuato dal fornitore ungherese, sostenendo che la realizzazione di test e la correzione di errori riguardanti la banca dati degli abbonati presentino un nesso concreto con l'esecuzione dei contratti di abbonamento dei clienti privati, "in quanto siffatti errori possono essere dannosi per la fornitura del servizio contrattualmente previsto, e per la quale i dati sono stati inizialmente raccolti". I giudici aggiungono inoltre che "un siffatto trattamento non si discosta dalle legittime aspettative di tali clienti quanto all'ulteriore utilizzo dei loro dati personali".
Quanto alla seconda questione, invece, la Corte statuisce che il principio della limitazione della conservazione osta alla conservazione, da parte del titolare del trattamento, in una banca dati creata al fine di effettuare test e di correggere errori, di dati personali precedentemente raccolti per altre finalità, per un arco di tempo superiore a quello necessario alla realizzazione di tali test e alla correzione di tali errori.
Lo stato dell'arte
La pronuncia in commento mostra un indice di apertura verso l'utilizzo dell'istituto della compatibilità, che viene riconosciuto come strumento di bilanciamento delle esigenze, da un lato, di protezione dei dati personali e, dell'altro, di quelle imprenditoriali e organizzative che talvolta richiedono, anche nell'applicazione del diritto, un certo margine di – come afferma la CGUE – "flessibilità" nella gestione dei dati.
Un'analoga previsione, tesa ad agevolare il perseguimento di finalità di trattamento di interesse collettivo, è stata prevista dal legislatore europeo rispetto ai trattamenti per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici. Ai sensi del considerando n. 50 e dell'art. 5, 1° comma, lett. b) del GDPR, infatti, l'ulteriore trattamento di dati per i fini sopra menzionati non è considerato incompatibile con le finalità iniziali.
Questa presunzione di non incompatibilità, tuttavia, non è ancora stata oggetto di interpretazione. L'EDPB, nel proprio Document on response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health research, rimanda a futuri chiarimenti nell'ambito delle linee guida di prossima emanazione aventi ad oggetto il trattamento di dati per fini di ricerca scientifica.
Nel frattempo, l'attività di interpretazione della norma è rimessa a operatori e autorità di controllo che devono muoversi su un terreno ancora poco esplorato. Ne è un esempio l'ormai noto provvedimento del 30 giugno 2022 del Garante privacy italiano, che ha escluso l'applicabilità della presunzione in esame allo svolgimento di studi di ricerca futuri, fondati su dati precedentemente raccolti all'interno di un database, riconducendo tale presunzione "alla natura di eccezione che le è propria e che in quanto tale non ammette interpretazioni analogiche o estensive, vieppiù nelle ipotesi di trattamenti di particolari categorie di dati per le quali sussiste, in termini generali, un divieto di trattamento".
*a cura dell'Avv. Laura Greco, DigitalMediaLaws