TUTELA DEI DATI PERSONALI
Corte di Giustizia UE: gli illeciti amministrativi rientrano nella nozione di "reato" ai sensi dell'art. 10 RGPD.
Una persona fisica alla quale sono stati inflitti punti di penalità per infrazioni stradali vede le proprie penalità iscritte dalla Direzione per la sicurezza stradale (CSDD) della Lettonia nel registro nazionale dei veicoli e dei conducenti.
In forza della normativa lettone sulla circolazione stradale le informazioni inerenti ai punti di penalità inflitti ai conducenti di veicoli iscritti in tale registro sono accessibili al pubblico e sono comunicate dalla CSDD a chiunque ne faccia domanda – ivi compreso ad operatori economici a fini di riutilizzo – senza che il richiedente debba dimostrare un interesse specifico ad ottenere tali informazioni. La persona fisica interessata ha proposto un ricorso costituzionale dinanzi alla Corte costituzionale affinché esamini la conformità di tale normativa al diritto al rispetto della vita privata.
La Corte costituzionale ha ritenuto di dover tenere conto del RGPD nell’ambito della sua valutazione di tale diritto costituzionale. Pertanto, essa ha chiesto alla Corte di giustizia di chiarire la portata di diverse disposizioni del RGPD per accertare se la normativa lettone sulla circolazione stradale sia compatibile con tale regolamento.
Con la sua sentenza la CGUE statuisce che il RGPD osta alla normativa lettone. Essa constata che la necessità, segnatamente alla luce dell’obiettivo del miglioramento della sicurezza stradale addotto dal governo lettone, di comunicare dati personali relativi ai punti di penalità inflitti per infrazioni stradali, non è dimostrata. Peraltro, secondo la Corte, né il diritto del pubblico ad accedere ai documenti ufficiali, né il diritto alla libertà di informazione giustificano una normativa del genere.
In primo luogo, la Corte giudica che il trattamento dei dati personali relativi ai punti di penalità costituisce un «trattamento dei dati personali relativi alle condanne penali e ai reati» per il quale il RGPD prevede una protezione maggiore in virtù del carattere particolarmente sensibile dei dati in causa. In questo contesto, essa osserva che le informazioni relative ai punti di penalità costituiscono dati personali e che la loro trasmissione a terzi da parte della CSDD rappresenta un trattamento rientrante nell’ambito di applicazione materiale del RGPD. Tale ambito di applicazione, infatti, è alquanto ampio e detto trattamento non si annovera tra le eccezioni all’applicabilità di tale regolamento. Infatti, da un lato, detto trattamento non è coperto dall’eccezione relativa all’inapplicabilità del RGPD a un trattamento effettuato nel contesto di un’attività che non rientra del diritto dell’Unione. Occorre considerare che questa eccezione mira unicamente ad escludere dall’ambito di applicazione del regolamento i trattamenti di dati personali effettuati dalle autorità statali nel contesto di un’attività volta a salvaguardare la sicurezza nazionale o di un’attività che possa essere ascritta alla stessa categoria. Tali attività includono segnatamente quelle volte a tutelare le funzioni essenziali dello Stato e gli interessi fondamentali della società. Orbene, le attività riguardanti la sicurezza stradale non perseguono un siffatto obiettivo e non possono, di conseguenza, essere ascritte alla categoria delle attività che hanno lo scopo di salvaguardare la sicurezza nazionale.
Dall’altro lato, la comunicazione dei dati personali relativi ai punti di penalità non costituisce neppure un trattamento contemplato dall’eccezione che comporta l’inapplicabilità del RGPD ai trattamenti di dati personali effettuati dalle autorità competenti in materia penale. La Corte dichiara infatti che la CSDD, quando effettua detta comunicazione, non può essere considerata alla stregua di una siffatta «autorità competente». Per accertare se l’accesso ai dati personali relativi alle infrazioni stradali, come i punti di penalità, costituisca un trattamento di dati personali relativi a «reati», che godono di una maggiore protezione, la Corte constata, fondandosi segnatamente sulla genesi del RGPD, che tale nozione rinvia esclusivamente agli illeciti penali. Tuttavia, la circostanza che nel sistema giuridico lettone le infrazioni stradali siano qualificate come illeciti amministrativi non è dirimente per valutare se tali infrazioni rientrino nella nozione di «reato», in quanto si tratta di un concetto autonomo del diritto dell’Unione che richiede, in tutta l’Unione, un’interpretazione autonoma e uniforme. Pertanto, dopo aver ricordato i tre criteri pertinenti per valutare il carattere penale di un illecito, ossia la qualificazione giuridica dell’illecito nel diritto nazionale, la natura dell’illecito e il grado di severità della sanzione inflitta, la Corte statuisce che le infrazioni stradali in causa rientrano della nozione di «reato» ai sensi del RGPD. Per quanto attiene ai primi due criteri, la Corte constata che, anche se gli illeciti non sono qualificati come «penali» dal diritto nazionale, una simile qualificazione può derivare della natura dell’illecito, e segnatamente dalla finalità repressiva perseguita dalla sanzione che l’illecito può comportare. Orbene, nel caso di specie, l’applicazione di punti di penalità per infrazioni stradali, così come le altre sanzioni che la commissione di queste ultime può comportare, perseguono, tra l’altro una siffatta finalità repressiva. Quanto al terzo criterio, la Corte osserva che solo le infrazioni stradali di una certa gravità comportano l’irrogazione di punti di penalità e che, di conseguenza, esse possono comportare sanzioni di una certa gravità. Peraltro, l’irrogazione di tali punti si aggiunge generalmente alla sanzione inflitta, e il cumulo di detti punti comporta conseguenze giuridiche che possono spingersi addirittura fino al divieto di guidare.
ln secondo luogo, la Corte statuisce che il RGPD osta alla normativa lettone che obbliga la CSDD a rendere accessibili al pubblico i dati relativi ai punti di penalità inflitti ai conducenti di veicoli per infrazioni stradali, senza che la persona che richiede l’accesso sia tenuta a dimostrare un interesse specifico ad ottenerli. In tale contesto, la Corte sottolinea che il miglioramento della sicurezza stradale, cui mira la normativa lettone, costituisce un obiettivo di interesse generale riconosciuto dall’Unione e che gli Stati membri sono quindi legittimati a qualificare la sicurezza stradale come «compito di interesse pubblico». Tuttavia, la necessità del regime lettone di comunicazione dei dati personali relativi ai punti di penalità per garantire il conseguimento dell’obiettivo considerato non è dimostrata. In effetti, da una parte, il legislatore lettone dispone di diverse linee d’azione, che gli avrebbero consentito di conseguire tale obiettivo con altri mezzi meno pregiudizievoli per i diritti fondamentali degli interessati. Dall’altra, occorre tener conto della sensibilità dei dati relativi ai punti di penalità e della circostanza che la loro comunicazione al pubblico può costituire una grave ingerenza nei diritti al rispetto della vita privata e alla protezione dei dati personali poiché essa può suscitare la disapprovazione sociale e comportare la stigmatizzazione della persona interessata.
Inoltre, la Corte considera che, tenuto conto della sensibilità di tali dati e della gravità di detta ingerenza in questi due diritti fondamentali, tali diritti prevalgono sia sull’interesse del pubblico ad avere accesso a documenti ufficiali, come il registro nazionale dei veicoli e dei conducenti, che sul diritto alla libertà d’informazione.
In terzo luogo, per motivi identici, la Corte dichiara che il RGPD osta anche alla normativa lettone nella parte in cui essa autorizza la CSDD a comunicare i dati relativi ai punti di penalità inflitti ai conducenti di veicoli per infrazioni stradali a operatori economici affinché questi ultimi possano riutilizzarli e comunicarli al pubblico. In quarto e ultimo luogo, la Corte precisa che il principio del primato del diritto dell’Unione osta a che il giudice del rinvio, investito di un ricorso avverso la normativa lettone, che la Corte ha qualificato incompatibile con il diritto dell’Unione, decida di mantenere gli effetti giuridici di tale normativa fino alla data di pronuncia della sua sentenza definitiva.
(Fonte: Comunicato Stampa della Corte di Giustizia dell’Unione Europea – Autore e Titolarità dei contenuti: Corte di Giustizia dell’Unione Europea).
In forza della normativa lettone sulla circolazione stradale le informazioni inerenti ai punti di penalità inflitti ai conducenti di veicoli iscritti in tale registro sono accessibili al pubblico e sono comunicate dalla CSDD a chiunque ne faccia domanda – ivi compreso ad operatori economici a fini di riutilizzo – senza che il richiedente debba dimostrare un interesse specifico ad ottenere tali informazioni. La persona fisica interessata ha proposto un ricorso costituzionale dinanzi alla Corte costituzionale affinché esamini la conformità di tale normativa al diritto al rispetto della vita privata.
La Corte costituzionale ha ritenuto di dover tenere conto del RGPD nell’ambito della sua valutazione di tale diritto costituzionale. Pertanto, essa ha chiesto alla Corte di giustizia di chiarire la portata di diverse disposizioni del RGPD per accertare se la normativa lettone sulla circolazione stradale sia compatibile con tale regolamento.
Con la sua sentenza la CGUE statuisce che il RGPD osta alla normativa lettone. Essa constata che la necessità, segnatamente alla luce dell’obiettivo del miglioramento della sicurezza stradale addotto dal governo lettone, di comunicare dati personali relativi ai punti di penalità inflitti per infrazioni stradali, non è dimostrata. Peraltro, secondo la Corte, né il diritto del pubblico ad accedere ai documenti ufficiali, né il diritto alla libertà di informazione giustificano una normativa del genere.
In primo luogo, la Corte giudica che il trattamento dei dati personali relativi ai punti di penalità costituisce un «trattamento dei dati personali relativi alle condanne penali e ai reati» per il quale il RGPD prevede una protezione maggiore in virtù del carattere particolarmente sensibile dei dati in causa. In questo contesto, essa osserva che le informazioni relative ai punti di penalità costituiscono dati personali e che la loro trasmissione a terzi da parte della CSDD rappresenta un trattamento rientrante nell’ambito di applicazione materiale del RGPD. Tale ambito di applicazione, infatti, è alquanto ampio e detto trattamento non si annovera tra le eccezioni all’applicabilità di tale regolamento. Infatti, da un lato, detto trattamento non è coperto dall’eccezione relativa all’inapplicabilità del RGPD a un trattamento effettuato nel contesto di un’attività che non rientra del diritto dell’Unione. Occorre considerare che questa eccezione mira unicamente ad escludere dall’ambito di applicazione del regolamento i trattamenti di dati personali effettuati dalle autorità statali nel contesto di un’attività volta a salvaguardare la sicurezza nazionale o di un’attività che possa essere ascritta alla stessa categoria. Tali attività includono segnatamente quelle volte a tutelare le funzioni essenziali dello Stato e gli interessi fondamentali della società. Orbene, le attività riguardanti la sicurezza stradale non perseguono un siffatto obiettivo e non possono, di conseguenza, essere ascritte alla categoria delle attività che hanno lo scopo di salvaguardare la sicurezza nazionale.
Dall’altro lato, la comunicazione dei dati personali relativi ai punti di penalità non costituisce neppure un trattamento contemplato dall’eccezione che comporta l’inapplicabilità del RGPD ai trattamenti di dati personali effettuati dalle autorità competenti in materia penale. La Corte dichiara infatti che la CSDD, quando effettua detta comunicazione, non può essere considerata alla stregua di una siffatta «autorità competente». Per accertare se l’accesso ai dati personali relativi alle infrazioni stradali, come i punti di penalità, costituisca un trattamento di dati personali relativi a «reati», che godono di una maggiore protezione, la Corte constata, fondandosi segnatamente sulla genesi del RGPD, che tale nozione rinvia esclusivamente agli illeciti penali. Tuttavia, la circostanza che nel sistema giuridico lettone le infrazioni stradali siano qualificate come illeciti amministrativi non è dirimente per valutare se tali infrazioni rientrino nella nozione di «reato», in quanto si tratta di un concetto autonomo del diritto dell’Unione che richiede, in tutta l’Unione, un’interpretazione autonoma e uniforme. Pertanto, dopo aver ricordato i tre criteri pertinenti per valutare il carattere penale di un illecito, ossia la qualificazione giuridica dell’illecito nel diritto nazionale, la natura dell’illecito e il grado di severità della sanzione inflitta, la Corte statuisce che le infrazioni stradali in causa rientrano della nozione di «reato» ai sensi del RGPD. Per quanto attiene ai primi due criteri, la Corte constata che, anche se gli illeciti non sono qualificati come «penali» dal diritto nazionale, una simile qualificazione può derivare della natura dell’illecito, e segnatamente dalla finalità repressiva perseguita dalla sanzione che l’illecito può comportare. Orbene, nel caso di specie, l’applicazione di punti di penalità per infrazioni stradali, così come le altre sanzioni che la commissione di queste ultime può comportare, perseguono, tra l’altro una siffatta finalità repressiva. Quanto al terzo criterio, la Corte osserva che solo le infrazioni stradali di una certa gravità comportano l’irrogazione di punti di penalità e che, di conseguenza, esse possono comportare sanzioni di una certa gravità. Peraltro, l’irrogazione di tali punti si aggiunge generalmente alla sanzione inflitta, e il cumulo di detti punti comporta conseguenze giuridiche che possono spingersi addirittura fino al divieto di guidare.
ln secondo luogo, la Corte statuisce che il RGPD osta alla normativa lettone che obbliga la CSDD a rendere accessibili al pubblico i dati relativi ai punti di penalità inflitti ai conducenti di veicoli per infrazioni stradali, senza che la persona che richiede l’accesso sia tenuta a dimostrare un interesse specifico ad ottenerli. In tale contesto, la Corte sottolinea che il miglioramento della sicurezza stradale, cui mira la normativa lettone, costituisce un obiettivo di interesse generale riconosciuto dall’Unione e che gli Stati membri sono quindi legittimati a qualificare la sicurezza stradale come «compito di interesse pubblico». Tuttavia, la necessità del regime lettone di comunicazione dei dati personali relativi ai punti di penalità per garantire il conseguimento dell’obiettivo considerato non è dimostrata. In effetti, da una parte, il legislatore lettone dispone di diverse linee d’azione, che gli avrebbero consentito di conseguire tale obiettivo con altri mezzi meno pregiudizievoli per i diritti fondamentali degli interessati. Dall’altra, occorre tener conto della sensibilità dei dati relativi ai punti di penalità e della circostanza che la loro comunicazione al pubblico può costituire una grave ingerenza nei diritti al rispetto della vita privata e alla protezione dei dati personali poiché essa può suscitare la disapprovazione sociale e comportare la stigmatizzazione della persona interessata.
Inoltre, la Corte considera che, tenuto conto della sensibilità di tali dati e della gravità di detta ingerenza in questi due diritti fondamentali, tali diritti prevalgono sia sull’interesse del pubblico ad avere accesso a documenti ufficiali, come il registro nazionale dei veicoli e dei conducenti, che sul diritto alla libertà d’informazione.
In terzo luogo, per motivi identici, la Corte dichiara che il RGPD osta anche alla normativa lettone nella parte in cui essa autorizza la CSDD a comunicare i dati relativi ai punti di penalità inflitti ai conducenti di veicoli per infrazioni stradali a operatori economici affinché questi ultimi possano riutilizzarli e comunicarli al pubblico. In quarto e ultimo luogo, la Corte precisa che il principio del primato del diritto dell’Unione osta a che il giudice del rinvio, investito di un ricorso avverso la normativa lettone, che la Corte ha qualificato incompatibile con il diritto dell’Unione, decida di mantenere gli effetti giuridici di tale normativa fino alla data di pronuncia della sua sentenza definitiva.
(Fonte: Comunicato Stampa della Corte di Giustizia dell’Unione Europea – Autore e Titolarità dei contenuti: Corte di Giustizia dell’Unione Europea).
