OLIVIA
News
Back

Sintesi delle sentenze e della giurisprudenza della Corte di giustizia dell'Unione europea - diritto alla privacy e diritto alla protezione dei dati personali

21.10.2024.


  2020

 

1.1.           Schrems II (C-311/18)

 

  • Data: 16 luglio 2020
  • Contesto: Maximillian Schrems, utente del social network Facebook dal 2008, ha intentato una causa contro Facebook per il trasferimento di dati negli Stati Uniti, sostenendo che le leggi statunitensi non offrono lo stesso livello di protezione dei dati personali delle leggi dell'UE. Questa sentenza ha avuto un impatto cruciale su tutti i trasferimenti di dati dall'UE agli Stati Uniti, poiché il tribunale ha annullato il Privacy Shield.
  • Conclusione: La Corte ha stabilito che il Privacy Shield UE-USA non fornisce protezioni sufficientemente forti in conformità al GDPR e alla Carta dell'UE, in particolare per quanto riguarda la sorveglianza da parte delle autorità statunitensi, a causa delle leggi statunitensi in vigore. Le clausole contrattuali standard (SCC) rimangono valide, ma le aziende devono adottare misure supplementari per garantire che i diritti delle persone siano adeguatamente protetti durante i trasferimenti di dati. Su Olivia è disponibile un questionario per analizzare l'impatto dei trasferimenti di dati personali verso Paesi terzi.
  • Aspetti rilevanti: I flussi di dati personali da e verso Paesi al di fuori dell'UE e organizzazioni internazionali sono essenziali per l'espansione del commercio internazionale e della cooperazione internazionale. L'aumento di questi trasferimenti ha portato a nuove sfide e preoccupazioni in relazione alla protezione dei dati personali. Tuttavia, quando i dati personali sono trasferiti dall'UE a titolari del trattamento, responsabili del trattamento o altri destinatari in paesi terzi o a organizzazioni internazionali, il livello di protezione delle persone fisiche garantito nell'Unione dal GDPR non dovrebbe essere compromesso, anche in caso di trasferimenti successivi di dati personali dal paese terzo o dall'organizzazione internazionale ad altri titolari del trattamento o responsabili del trattamento nello stesso paese terzo o in un altro paese terzo o ad altra organizzazione internazionale. In ogni caso, i trasferimenti a paesi terzi e organizzazioni internazionali possono avvenire solo nel pieno rispetto delle disposizioni del GDPR. Questa sentenza evidenzia la necessità di valutare la legislazione dei Paesi terzi (come gli Stati Uniti) e l'eventuale implementazione di garanzie supplementari per la protezione dei dati personali nel contesto dei trasferimenti internazionali di dati. A seguito della sentenza, è stato adottato un nuovo accordo intergovernativo tra Europa e Stati Uniti (cd. Data Privacy Framework), considerato adeguato dalla Commissione europea per trasferire legittimamente dati personali dall’Europa verso gli Stati Uniti.

 

 

1.2.           La Quadrature du Net (C-511/18)

 

  • Data: 6 ottobre 2020
  • Contesto: Questa sentenza riguardava la normativa in materia di conservazione dei dati degli utenti di servizi di telecomunicazione in Francia. La causa era stata intentata dall'organizzazione per i diritti digitali La Quadrature du Net, che ha messo in discussione la conservazione generale e indiscriminata dei dati dei cittadini per motivi di sicurezza nazionale.
  • Conclusione: La Corte ha stabilito che la conservazione generale e indiscriminata dei dati degli utenti dei servizi Internet e di telecomunicazione non è conforme agli articoli 7 e 8 della Carta dell’UE. Infatti, secondo quanto previsto da quest’ultima, fatta eccezione per casi particolari strettamente necessari alla tutela della sicurezza nazionale, la conservazione dei dati deve essere proporzionata e limitata nel tempo.
  • Aspetti rilevanti: La sentenza afferma che i governi nazionali devono trovare un equilibrio tra la necessità di proteggere la privacy dei cittadini e quella di garantire la sicurezza nazionale.

 

2021

 

2.1.      Facebook Ireland Ltd v. Belgian Data Protection Authority (C-645/19)

 

  • Data: 15 giugno 2021
  • Contesto: Il caso riguardava i poteri delle autorità nazionali di protezione dei dati nel contesto del trattamento transfrontaliero dei dati personali.
  • Conclusione: La Corte ha stabilito che le autorità nazionali di protezione dei dati possono possono avviare dei procedimenti nei confronti di titolari e responsabili del trattamento che operano in altri Stati membri dell'UE, anche quando i dati sono trattati al di fuori dei confini dell'UE, se la questione riguarda la tutela della privacy e la protezione dei dati personali dei cittadini dell'UE. La Corte di giustizia ha chiarito le condizioni in base alle quali un'autorità nazionale di controllo diversa dall'autorità di controllo capofila in materia di trattamento transfrontaliero è tenuta a esercitare il proprio potere di portare qualsiasi presunta violazione del GDPR all'attenzione di un tribunale di uno Stato membro, se necessario, per avviare un contenzioso volto a garantire l'applicazione del regolamento. Tuttavia, nell'esercizio delle sue competenze, l’autorità di controllo capofila non può prescindere dal dialogo necessario e dalla cooperazione leale ed efficace con le altre autorità di controllo. Di conseguenza, nell'ambito di tale cooperazione, l’autorità di controllo capofila non può non tenere conto delle opinioni delle altre autorità di controllo e qualsiasi obiezione pertinente e motivata sollevata da una di tali autorità comporta, almeno temporaneamente, il blocco dell'adozione del progetto di decisione della l’autorità di controllo capofila. La Corte riconosce l'effetto diretto del GDPR sulla protezione dei dati, in base al quale ogni Stato membro dell'UE prevede per legge che la propria autorità di controllo abbia il potere di portare qualsiasi violazione del GDPR all'attenzione dei tribunali e, se necessario, di avviare un procedimento legale. Di conseguenza, tale autorità può fare affidamento su questa disposizione per avviare o proseguire un procedimento, anche se tale disposizione non è stata specificamente attuata nella legislazione dello Stato membro interessato.
  • Aspetti rilevanti: Questa sentenza ha rafforzato il ruolo delle autorità nazionali nell'applicazione del GDPR, dando loro il potere di intervenire anche in casi transfrontalieri.

 

2.2.           Meta Platforms Inc. v. Bundeskartellamt (C-252/21)

 

  • Data: 24 marzo 2021
  • Contesto: Questa sentenza si concentra sulla questione del trattamento dei dati personali e dell'integrazione di più fonti di dati degli utenti (ad esempio, da piattaforme diverse come WhatsApp e Instagram). L'Autorità tedesca per la concorrenza ha contestato la pratica delle piattaforme Meta (Facebook) di collegare i dati provenienti da fonti diverse senza un adeguato consenso degli utenti.
  • Conclusione: La Corte ha stabilito che l'integrazione dei dati tra diverse piattaforme senza il consenso degli utenti viola gli articoli 7 e 8. Questa pratica può limitare la concorrenza sul mercato. La lettera b) del primo comma dell'articolo 6, paragrafo 1, del GDPR deve essere interpretata nel senso che: le modalità con cui il gestore di un social network tratta i dati personali - che consistono nel raccogliere i dati degli utenti di tale social da altri servizi del gruppo cui appartiene tale gestore o dalle visite di tali utenti a siti web di terzi o dall'uso di applicazioni di terzi, nel collegare tali dati agli account di tali utenti sul social network e nell'utilizzare tali dati - possono essere considerati necessari per l'esecuzione di un contratto di cui gli interessati sono parti, ai sensi di tale disposizione, solo nella misura in cui tale trattamento sia oggettivamente necessario per il conseguimento della finalità che rientra nell'esecuzione del contratto per tali utenti, con la conseguenza che l'oggetto principale del contratto non può essere realizzato se non viene eseguito tale trattamento.
  • Aspetti rilevanti: Questa sentenza ha ulteriormente rafforzato l'importanza del principio di trasparenza nel trattamento dei dati personali e del rispetto del diritto fondamentale degli utenti alla privacy e alla protezione dei dati personali.

 

2022

 

3.1.           WM and Sovim SA v Luxembourg Business Registers (C-37/20 and C-601/20)

 

  • Data: 22 novembre 2022
  • Contesto: Il caso riguarda l'accesso alle informazioni sui titolari effettivi ai fini della prevenzione del riciclaggio di denaro e del finanziamento del terrorismo. La Corte ha esaminato la legittimità dell'accesso pubblico a tali dati, sostenendo che la loro pubblicazione è in grado di pregiudicare i diritti garantiti dagli articoli 7 e 8 della Carta.
  • Conclusione: La Corte ha stabilito che l'accesso generale del pubblico alle informazioni sui titolari effettivi costituisce una grave interferenza con la vita privata e i dati personali e che è necessario trovare un equilibrio tra la trasparenza e il diritto alla privacy. In particolare, le eccezioni e le restrizioni alla protezione dei dati personali devono essere limitate allo stretto necessario e, in caso di scelta tra più misure idonee a raggiungere gli obiettivi legittimi perseguiti, si deve ricorrere alla meno onerosa. Inoltre, un obiettivo di interesse generale non può essere raggiunto senza tener conto del fatto che deve essere conciliato con i diritti fondamentali interessati dalla misura, bilanciando adeguatamente l'obiettivo di interesse generale con i diritti in questione, al fine di garantire che gli svantaggi causati da tale misura non siano sproporzionati rispetto agli obiettivi perseguiti. È quindi possibile giustificare limitazioni ai diritti garantiti dagli articoli 7 e 8 della Carta dei diritti fondamentali dell'Unione europea. È necessario valutare la gravità dell'interferenza con tale limitazione e verificare che l'importanza dell'obiettivo di interesse generale perseguito da tale limitazione sia collegata a tale gravità. Inoltre, per soddisfare il requisito della proporzionalità, la legislazione in questione che comporta l'interferenza deve stabilire norme chiare e precise che disciplinino la portata e l'applicazione della misura ivi prevista e impongano garanzie minime, in modo che gli interessati abbiano sufficienti garanzie che i loro dati personali saranno effettivamente protetti contro il rischio di abusi.

·      Aspetti rilevanti: Nella legislazione nazionale dell'UE si deve verificare se l'accesso del pubblico alle informazioni sui titolari effettivi sia appropriato per raggiungere l'obiettivo di interesse generale perseguito e, in secondo luogo, se l'interferenza con i diritti garantiti dagli articoli 7 e 8 della Carta sia giustificata. In terzo luogo, se tale interferenza sia sproporzionata rispetto al suddetto obiettivo, il che include, in particolare, la valutazione della sua importanza rispetto alla gravità dell'interferenza.

·· 

 

 

3.2.           Vyriausioji tarnybinės etikos komisija (C-184/20)

 

  • Data: 1 agosto 2022
  • Contesto: Il caso in esame riguardava l'obbligo di divulgare pubblicamente i dati personali di persone che lavorano nella pubblica amministrazione o in organizzazioni che ricevono fondi pubblici. La Corte doveva decidere se tale pubblicazione fosse conforme al diritto alla privacy e alla protezione dei dati personali.
  • Conclusione: La Corte ha affermato che la pubblicazione obbligatoria di tali informazioni può costituire una grave violazione della privacy e deve essere proporzionata allo scopo che persegue, come ad esempio la prevenzione dei conflitti di interesse. Il Regolamento Generale sulla Protezione dei Dati deve essere interpretato nel senso che la pubblicazione - sul sito web di un'autorità pubblica tenuta a raccogliere e verificare il contenuto delle dichiarazioni di interessi privati - di dati personali che possono indirettamente portare alla divulgazione dell'orientamento sessuale di una persona fisica costituisce un trattamento relativo a categorie particolari di dati personali ai sensi di tali disposizioni.
  • Aspetti rilevanti: La gravità dell'interferenza con il diritto alla privacy e il diritto alla protezione dei dati personali deve essere bilanciata con l'importanza delle finalità di prevenzione dei conflitti di interesse e della corruzione nel settore pubblico.

 

3.3.             Ligue des droits humains (C-817/19)

 

  • Data: 21 giugno 2022
  • Contesto: È stata esaminata la raccolta e l'archiviazione dei dati dei passeggeri aerei per combattere il terrorismo e i reati gravi. La Corte si è chiesta se tale raccolta massiva di dati possa violare i diritti sanciti dagli articoli 7 e 8 della Carta.
  • Conclusione: La Corte ha stabilito che tale raccolta di dati deve essere strettamente limitata e proporzionata al fine di rispettare i diritti alla privacy e alla protezione dei dati personali. Dal momento che i dati PNR contengono informazioni su persone fisiche identificate, ossia i passeggeri aerei interessati, le varie procedure a cui tali informazioni possono essere sottoposte violano il diritto fondamentale al rispetto della vita privata garantito dall'articolo 7 della Carta dell'UE.
  • Aspetti rilevanti: Per soddisfare il requisito della proporzionalità, la normativa deve stabilire norme chiare e precise che disciplinino la portata e l'applicazione della misura prevista e impongano garanzie minime, in modo che le persone i cui dati sono trasferiti dispongano di garanzie sufficienti che consentano di proteggere efficacemente i loro dati personali dal rischio di violazioni. Deve inoltre indicare, in particolare, in quali circostanze e a quali condizioni può essere adottata una misura che prevede il trattamento di tali dati, garantendo così che l'interferenza sia limitata allo stretto necessario. La necessità di tali garanzie è ancora maggiore quando i dati personali sono soggetti a trattamento automatizzato.

 

3.4.           Commissioner of An Garda Síochána and Others (C-140/20)

 

  • Data: 5 aprile 2022
  • Contesto: La Corte ha esaminato le normative nazionali che consentono l'accesso ai dati di telecomunicazioni dei cittadini per indagare su reati, analizzandone l'impatto sulla privacy.
  • Conclusione: E' emerso che l'accesso generale e indiscriminato ai dati non è conforme agli articoli 7 e 8 della Carta, se non in presenza di condizioni specifiche, come la sicurezza nazionale.
  • Aspetti rilevanti: Le normative nazionali devono essere in linea con quanto previsto dagli articoli 7 e 8 della Carta, stabilendo condizioni chiare e proporzionate per il raggiungimento dello scopo.

 

 

 2023

 

4.1.           C.I. and Others (C-107/23)

 

  • Data: 24 luglio 2023
  • Contesto: Questo caso riguarda la tutela degli interessi finanziari dell'UE nel contesto della frode fiscale, nell'ambito della quale la normativa nazionale che ha annullato le disposizioni sulla prescrizione dei reati ha compromesso l'efficacia della lotta contro la frode fiscale.
  • Conclusione: La Corte ha stabilito che i tribunali nazionali devono disapplicare le sentenze delle corti costituzionali nazionali se violano il diritto dell'UE, compresa la Carta dell'UE, in particolare l'articolo 49, che tutela la certezza del diritto e il principio di prevedibilità delle leggi penali.
  • Aspetti rilevanti: Questa sentenza rafforza il primato del diritto dell'UE sulle singole normative nazionali e sulle decisioni giurisdizionali in materia di tutela dei diritti fondamentali, compresa la protezione dei dati personali nei procedimenti penali.

 

4.2.           ZS v Zweckverband 'Kommunale Informationsverarbeitung Sachsen' (C-560/21)

 

  • Data: 9 febbraio 2023
  • Contesto: Questa sentenza affronta la questione del licenziamento di un responsabile della protezione dei dati (DPO) a causa di un potenziale conflitto di interessi. ZS, che lavorava come responsabile della protezione dei dati e svolgeva altre funzioni nell'organizzazione, è stato licenziato perché era anche membro del consiglio di amministrazione, fatto che il datore di lavoro ha considerato come conflitto di interessi.
  • Conclusione: La Corte ha stabilito che il GDPR non consente il licenziamento di un responsabile della protezione dei dati esclusivamente per lo svolgimento di altre funzioni, a meno che non sia dimostrato un reale conflitto di interessi. Esiste un conflitto di interessi ai sensi dell'articolo 38, paragrafo 6? Il GDPR deve essere valutato caso per caso, sulla base di una valutazione di tutti gli elementi pertinenti, in particolare della struttura organizzativa del titolare o del responsabile del trattamento e alla luce di tutte le normative applicabili, comprese eventuali regolamenti interni.
  • Aspetti rilevanti: Questa sentenza rafforza la tutela dei responsabili della protezione dei dati e impedisce il loro licenziamento ingiustificato a causa di presunti conflitti di interesse.

 

4.3.           Gesamtverband Autoteile-Handel e.V. v Scania CV AB (C-319/22)

 

  • Data: 9 novembre 2023
  • Contesto: La sentenza affronta la questione se il numero di identificazione del veicolo (VIN) sia un dato personale ai sensi del Regolamento Generale sulla Protezione dei Dati. La Corte si è chiesta se il VIN possa essere considerato un dato personale in situazioni in cui è probabile che sia collegato a una persona specifica.
  • Conclusione: La Corte ha stabilito che il VIN non è di per sé un dato personale, a meno che non vi siano mezzi o informazioni che consentano di ricollegare tale numero a una persona specifica. Pertanto, a seconda del contesto e delle informazioni disponibili, il VIN può diventare un dato personale. Per quanto riguarda la condizione di liceità del trattamento dei dati personali di cui all'articolo 6, paragrafo 3, occorre innanzitutto rilevare che il VIN non è un dato personale. È sufficiente osservare, in primo luogo, che i dati relativi a un determinato veicolo possono essere correttamente identificati solo mediante una ricerca del VIN e, in secondo luogo, che il fascicolo all'esame della Corte di giustizia non fa riferimento a un altro identificatore meno invasivo che garantirebbe l'efficacia della ricerca del VIN e il conseguimento dell'obiettivo di interesse pubblico individuato nel paragrafo precedente della presente sentenza.
  • Aspetti rilevanti: La sentenza riveste particolare importanza perché estende l'applicazione del concetto di dati personali e sottolinea la necessità di analizzare il contesto specifico per determinare se una determinata informazione sia un dato personale.