lpd - Le nostre pubblicazioni saranno gratuite per sempre.: CGUE 2023- Trattamento dei dati personali - Portata del diritto di accesso alle informazioni- Chiunque ha il diritto di conoscere la data e le ragioni per cui i suoi dati personali sono stati consultati

sabato 26 agosto 2023

CGUE 2023- Trattamento dei dati personali - Portata del diritto di accesso alle informazioni- Chiunque ha il diritto di conoscere la data e le ragioni per cui i suoi dati personali sono stati consultati

CGUE 2023- Trattamento dei dati personali - Portata del diritto di accesso alle informazioni- Chiunque ha il diritto di conoscere la data e le ragioni per cui i suoi dati personali sono stati consultati

SENTENZA DELLA CORTE (Prima Sezione)

22 giugno 2023 (*)

«Rinvio pregiudiziale – Trattamento dei dati personali – Regolamento (UE) 2016/679 – Articoli 4 e 15 – Portata del diritto di accesso alle informazioni di cui all’articolo 15 – Informazioni contenute negli archivi generati da un sistema di trattamento (log data) – Articolo 4 – Nozione di “dati personali” – Nozione di “destinatari” – Applicazione nel tempo»

Nella causa C‑579/21,

avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dall’Itä-Suomen hallinto-oikeus (Tribunale amministrativo della Finlandia orientale, Finlandia), con decisione del 21 settembre 2021, pervenuta in cancelleria il 22 settembre 2021, nel procedimento promosso da

J.M.

con l’intervento di:

Apulaistietosuojavaltuutettu,

Pankki S,

LA CORTE (Prima Sezione),

composta da A. Arabadjiev, presidente di sezione, P.G. Xuereb, T. von Danwitz, A. Kumin e I. Ziemele (relatrice), giudici,

avvocato generale: M. Campos Sánchez-Bordona,

cancelliere: C. Strömholm, amministratrice

vista la fase scritta del procedimento e in seguito all’udienza del 12 ottobre 2022,

considerate le osservazioni presentate:

– per J.M., da egli stesso;

– per l’Apulaistietosuojavaltuutettu, par A. Talus, tietosuojavaltuutettu;

– per la Pankki S, da T. Kalliokoski e J. Lång, asianajajat, nonché da E.-L. Hokkonen, oikeustieteen maisteri;

– per il governo finlandese, da A. Laine e H. Leppo, in qualità di agenti;

– per il governo ceco, da A. Edelmannová, M. Smolek e J. Vláčil, in qualità di agenti;

– per il governo austriaco, da A. Posch, in qualità di agente;

– per la Commissione europea, da A. Bouchagiar, H. Kranenborg e I. Söderlund, in qualità di agenti,

sentite le conclusioni dell’avvocato generale, presentate all’udienza del 15 dicembre 2022,

ha pronunciato la seguente

Sentenza

1 La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 15, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1 e rettifica in GU 2018, L 127, pagg. da 3 a 18; in prosieguo: il «RGPD»).

2 Tale domanda è stata presentata nell’ambito di un procedimento promosso da J.M. volto all’annullamento della decisione dell’Apulaistietosuojavaltuutettu (Sostituto Garante per la protezione dei dati personali, Finlandia), che ha rigettato la sua domanda di ingiungere alla Pankki S, istituto bancario con sede in Finlandia, di comunicargli talune informazioni riguardanti operazioni di consultazione dei suoi dati personali.

Contesto normativo

3 I considerando 4, 10, 11, 26, 39, 58, 60, 63 e 74 del RGPD così recitano:

«(4) Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta (…).

(…)

(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione [europea], il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. (…).

(11) Un’efficace protezione dei dati personali in tutta l’Unione presuppone il rafforzamento e la disciplina dettagliata dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati personali (…).

(...)

(26) (...) Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. (…).

(…)

(39) Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto. Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che le riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l’informazione degli interessati sull’identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che le riguardano. È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento. In particolare, le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e precisate al momento della raccolta di detti dati personali. (…)

(…)

(58) Il principio della trasparenza impone che le informazioni destinate al pubblico o all’interessato siano concise, facilmente accessibili e di facile comprensione e che sia usato un linguaggio semplice e chiaro, oltre che, se del caso, una visualizzazione. Tali informazioni potrebbero essere fornite in formato elettronico, ad esempio, se destinate al pubblico, attraverso un sito web. Ciò è particolarmente utile in situazioni in cui la molteplicità degli operatori coinvolti e la complessità tecnologica dell’operazione fanno sì che sia difficile per l’interessato comprendere se, da chi e per quali finalità sono raccolti dati personali che lo riguardano, quali la pubblicità online. Dato che i minori meritano una protezione specifica, quando il trattamento dati li riguarda, qualsiasi informazione e comunicazione dovrebbe utilizzare un linguaggio semplice e chiaro che un minore possa capire facilmente.

(…)

(60) I principi di trattamento corretto e trasparente implicano che l’interessato sia informato dell’esistenza del trattamento e delle sue finalità. Il titolare del trattamento dovrebbe fornire all’interessato eventuali ulteriori informazioni necessarie ad assicurare un trattamento corretto e trasparente, prendendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati. (…)

(…)

(63) Un interessato dovrebbe avere il diritto di accedere ai dati personali raccolti che l[o] riguardano e di esercitare tale diritto facilmente e a intervalli ragionevoli, per essere consapevole del trattamento e verificarne la liceità. (...) Ogni interessato dovrebbe pertanto avere il diritto di conoscere e ottenere comunicazioni in particolare in relazione alla finalità per cui i dati personali sono trattati, ove possibile al periodo in cui i dati personali sono trattati, ai destinatari dei dati personali, alla logica cui risponde qualsiasi trattamento automatizzato dei dati e, almeno quando è basato sulla profilazione, alle possibili conseguenze di tale trattamento. (...) Tale diritto non dovrebbe ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il software. (…)

(…)

(74) È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche».

4 L’articolo 1 del RGPD, intitolato «Oggetto e finalità», al paragrafo 2 così dispone:

«Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali».

5 L’articolo 4 di tale regolamento prevede quanto segue:

«Ai fini del presente regolamento s’intende per:

1) “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (...); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

2) “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

(...)

7) “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; (...)

(...)

9) “destinatario”: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. (...)

(...)

21) “autorità di controllo”: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51;

(...)».

6 L’articolo 5 di detto regolamento, intitolato «Principi applicabili al trattamento di dati personali», è così formulato:

«1. I dati personali sono:

a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);

(...)

f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”).

2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».

7 L’articolo 12 del RGPD, intitolato «Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato», così recita:

«1. Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (...). Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. (...)

(...)

5. (...) Se le richieste dell’interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può:

(...)

b) rifiutare di soddisfare la richiesta.

Incombe al titolare del trattamento l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta.

(...)».

8 L’articolo 15 di tale regolamento, intitolato «Diritto di accesso dell’interessato», così dispone:

«1. L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:

a) le finalità del trattamento;

b) le categorie di dati personali in questione;

c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;

d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;

f) il diritto di proporre reclamo a un’autorità di controllo;

g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;

h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

(...)

3. Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. (…)

4. Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui».

9 Gli articoli 16 e 17 di detto regolamento sanciscono, rispettivamente, il diritto dell’interessato di ottenere la rettifica dei dati personali inesatti (diritto di rettifica), nonché il diritto, in determinate circostanze, alla cancellazione di tali dati (diritto alla cancellazione o «diritto all’oblio»).

10 L’articolo 18 del medesimo regolamento, intitolato «Diritto di limitazione di trattamento», al paragrafo 1 così dispone:

«L’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:

a) l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;

b) il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;

c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;

d) l’interessato si è opposto al trattamento ai sensi dell’articolo 21, paragrafo 1, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato».

11 L’articolo 21 del RGPD, intitolato «Diritto di opposizione», al paragrafo 1 prevede quanto segue:

«L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria».

12 Conformemente all’articolo 24, paragrafo 1, di tale regolamento:

«Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. (...)».

13 L’articolo 29 di detto regolamento, intitolato «Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento», è così formulato:

«Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri».

14 L’articolo 30 del RGPD, intitolato «Registri delle attività di trattamento», prevede quanto segue:

«1. Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. (…)

(...)

4. Su richiesta, il titolare del trattamento (...) e, ove applicabile, il [suo] rappresentante mettono il registro a disposizione dell’autorità di controllo.

(...)».

15 L’articolo 58 di tale regolamento, intitolato «Poteri», al paragrafo 1 così dispone:

«Ogni autorità di controllo ha tutti i poteri di indagine seguenti:

a) ingiungere al titolare del trattamento e al responsabile del trattamento e, ove applicabile, al rappresentante del titolare del trattamento o del responsabile del trattamento, di fornirle ogni informazione di cui necessiti per l’esecuzione dei suoi compiti; (...)».

16 L’articolo 77 di detto regolamento, intitolato «Diritto di proporre reclamo all’autorità di controllo», è così formulato:

«1. Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione.

2. L’autorità di controllo a cui è stato proposto il reclamo informa il reclamante dello stato o dell’esito del reclamo, compresa la possibilità di un ricorso giurisdizionale ai sensi dell’articolo 78».

17 L’articolo 79 del RGPD, intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento», al paragrafo 1 così recita:

«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento».

18 L’articolo 82 di tale regolamento, intitolato «Diritto al risarcimento e responsabilità», al paragrafo 1 prevede quanto segue:

«Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».

19 Conformemente al suo articolo 99, paragrafo 2, il RGPD è entrato in vigore il 25 maggio 2018.

Procedimento principale e questioni pregiudiziali

20 Nel 2014, J.M., all’epoca dipendente e cliente della Pankki S, è venuto a conoscenza del fatto che i suoi dati di cliente erano stati consultati da membri del personale della banca, in più occasioni, nel periodo compreso tra il 1° novembre e il 31 dicembre 2013.

21 Nutrendo dubbi circa la liceità di tali consultazioni, J.M. che, nel frattempo, era stato licenziato dal suo impiego presso la Pankki S, ha chiesto a quest’ultima, il 29 maggio 2018, di comunicargli l’identità delle persone che avevano consultato i suoi dati di cliente, le date esatte delle consultazioni nonché le finalità del trattamento di detti dati.

22 Nella sua risposta del 30 agosto 2018, la Pankki S, in qualità di titolare del trattamento ai sensi dell’articolo 4, punto 7, del RGPD, ha rifiutato di comunicare l’identità dei dipendenti che avevano svolto le operazioni di consultazione, con la motivazione che tali informazioni costituivano dati personali di detti dipendenti.

23 Tuttavia, nella medesima risposta, la Pankki S ha fornito precisazioni in merito alle operazioni di consultazione svolte, conformemente alle sue istruzioni, dal servizio di audit interno di quest’ultima. Essa ha in tal modo chiarito che un cliente della banca di cui J.M. era il consulente alla clientela risultava creditore di una persona che aveva lo stesso cognome di J.M., cosicché essa aveva voluto chiarire se il ricorrente nel procedimento principale e detto debitore fossero la stessa persona e se vi fosse stato un eventuale rapporto di conflitto di interessi inappropriato. La Pankki S ha aggiunto che per chiarire tale questione era stato necessario procedere al trattamento dei dati di J.M. e che tutti i dipendenti della banca che avevano svolto il trattamento di tali dati avevano rilasciato al servizio di audit interno una dichiarazione sui motivi di detto trattamento di dati. Inoltre, la banca ha dichiarato che tali consultazioni avevano consentito di fugare qualsiasi sospetto di conflitto di interessi per quanto riguarda J.M.

24 J.M. ha adito il Tietosuojavaltuutetun toimisto (ufficio del Garante per la protezione dei dati personali, Finlandia), autorità di controllo ai sensi dell’articolo 4, punto 21, del RGPD, affinché fosse ingiunto alla Pankki S di comunicargli le informazioni richieste.

25 Con decisione del 4 agosto 2020, il Sostituto Garante per la protezione dei dati personali ha respinto la domanda di J.M. Esso ha chiarito che tale domanda era volta a consentirgli di accedere agli archivi dei dipendenti che avevano svolto il trattamento dei suoi dati, mentre, in forza della sua prassi decisionale, siffatti archivi costituiscono dati personali che riguardano non l’interessato, bensì i dipendenti che hanno effettuato il trattamento dei dati di quest’ultimo.

26 J.M. ha proposto ricorso avverso tale decisione dinanzi al giudice del rinvio.

27 Tale giudice ricorda che l’articolo 15 del RGPD prevede il diritto dell’interessato di ottenere dal titolare del trattamento l’accesso ai dati trattati che lo riguardano nonché le informazioni in merito, tra l’altro, alle finalità del trattamento e ai destinatari dei dati. Esso si chiede se la comunicazione di archivi generati in occasione di operazioni di trattamento, che contengono siffatte informazioni, in particolare l’identità dei dipendenti del titolare del trattamento, rientri nell’ambito di applicazione dell’articolo 15 del RGPD, potendo tali archivi servire all’interessato per valutare la liceità del trattamento di cui sono stati oggetto i suoi dati.

28 In tali circostanze, l’Itä-Suomen hallinto-oikeus (Tribunale amministrativo della Finlandia orientale, Finlandia) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1) Se il diritto di accesso dell’interessato ai sensi dell’articolo 15, paragrafo 1, del [RGPD], nel combinato disposto con la [nozione di] “dati personali” di cui all’articolo 4, punto 1, di tale regolamento, debba essere interpretato nel senso che le informazioni raccolte dal titolare del trattamento da cui emerge chi, quando e per quali finalità abbia trattato i dati personali dell’interessato non costituiscano informazioni alle quali l’interessato ha un diritto di accesso, in particolare perché si tratta di dati riguardanti dipendenti del titolare del trattamento.

2) In caso di risposta affermativa alla prima questione, vale a dire nel caso in cui l’interessato, sulla base dell’articolo 15, paragrafo 1, del [RGPD], non goda di un diritto di accesso alle informazioni menzionate in tale questione, in quanto esse non costituiscono “dati personali” ai sensi dell’articolo 4, punto 1, del [RGPD], occorre ancora prendere in esame le informazioni alle quali l’interessato ha diritto di accedere ai sensi dell’articolo 15, paragrafo 1 [lettere da a) a h)].

a) Quale interpretazione si debba dare alle finalità del trattamento di cui all’articolo 15, paragrafo 1, lettera a), con riferimento alla portata del diritto di accesso dell’interessato, ossia se le finalità del trattamento fondino un diritto di accesso ai dati sulle registrazioni degli utenti raccolte dal titolare del trattamento, in particolare, per esempio, le informazioni concernenti dati personali del soggetto che ha eseguito il trattamento, nonché il periodo e la finalità del trattamento dei dati personali.

b) Se in tale contesto i soggetti che hanno eseguito il trattamento dei dati di J.M. in qualità di cliente possano essere considerati, in base a determinati criteri, destinatari dei dati personali ai sensi dell’articolo 15, paragrafo 1, lettera c), del [RGPD], sui quali l’interessato avrebbe diritto di ottenere informazioni.

3) Se rilevi ai fini del procedimento il fatto che si tratta di una banca che esercita un’attività regolamentata o che J.M. fosse nel contempo dipendente e cliente della stessa.

4) Se rilevi ai fini della valutazione delle questioni sopra riportate il fatto che il trattamento dei dati di J.M. sia avvenuto prima dell’entrata in vigore del [RGPD]».

Sulle questioni pregiudiziali

Sulla quarta questione

29 Con la sua quarta questione, che occorre esaminare in primis, il giudice del rinvio chiede, in sostanza, se l’articolo 15 del RGPD, letto alla luce dell’articolo 99, paragrafo 2, di tale regolamento, sia applicabile a una domanda di accesso alle informazioni menzionate alla prima di dette disposizioni allorché i trattamenti di cui a tale domanda sono stati effettuati prima della data in cui è divenuto applicabile detto regolamento, ma la domanda è stata presentata successivamente a tale data.

30 Al fine di rispondere a tale questione, occorre rilevare che, in forza dell’articolo 99, paragrafo 2, del RGPD, quest’ultimo è applicabile dal 25 maggio 2018.

31 Orbene, nel caso di specie, dalla decisione di rinvio risulta che i trattamenti di dati personali oggetto del procedimento principale sono stati effettuati tra il 1° novembre 2013 e il 31 dicembre 2013, vale a dire prima della data di entrata in vigore del RGPD. Tuttavia, da tale decisione risulta altresì che J.M. ha presentato la sua domanda di informazioni alla Pankki S successivamente a detta data, ossia il 29 maggio 2018.

32 A tal riguardo, si deve ricordare che le norme procedurali si considerano generalmente applicabili alla data in cui esse entrano in vigore, a differenza delle norme sostanziali, che, secondo la comune interpretazione, riguardano situazioni sorte e definitivamente acquisite anteriormente alla loro entrata in vigore solo se dalla loro formulazione, dalla loro finalità o dal loro impianto sistematico risulti chiaramente che va loro attribuito tale effetto (sentenza del 15 giugno 2021, Facebook Ireland e a., C‑645/19, EU:C:2021:483, punto 100 e giurisprudenza citata).

33 Nel caso di specie, dalla decisione di rinvio risulta che la domanda di J.M. volta a ricevere le informazioni controverse nel procedimento principale si ricollega all’articolo 15, paragrafo 1, del RGPD, il quale prevede il diritto dell’interessato di ottenere l’accesso ai dati personali che lo riguardano che sono oggetto di trattamento, nonché alle informazioni menzionate da tale disposizione.

34 È giocoforza constatare che detta disposizione non riguarda le condizioni di liceità del trattamento di cui sono oggetto i dati personali dell’interessato. Infatti, l’articolo 15, paragrafo 1, del RGPD si limita a precisare la portata del diritto di accesso di tale persona ai dati e alle informazioni menzionate a detta disposizione.

35 Ne consegue, come rilevato dall’avvocato generale al paragrafo 33 delle sue conclusioni, che l’articolo 15, paragrafo 1, del RGPD conferisce agli interessati un diritto di natura procedurale consistente nell’ottenere informazioni sul trattamento dei loro dati personali. In quanto norma procedurale, tale disposizione si applica alle domande di accesso presentate a partire dal momento in cui è divenuto applicabile tale regolamento, come la domanda di J.M.

36 In tali circostanze, occorre rispondere alla quarta questione dichiarando che l’articolo 15 del RGPD, letto alla luce dell’articolo 99, paragrafo 2, di tale regolamento, dev’essere interpretato nel senso che esso si applica a una domanda di accesso alle informazioni menzionate da detta disposizione allorché i trattamenti di cui a tale domanda sono stati svolti prima della data in cui è divenuto applicabile detto regolamento, ma la domanda è stata presentata successivamente a tale data.

Sulle questioni prima e seconda

37 Con le sue questioni prima e seconda, che occorre esaminare congiuntamente, il giudice del rinvio chiede, in sostanza, se l’articolo 15, paragrafo 1, del RGPD debba essere interpretato nel senso che le informazioni relative a operazioni di consultazione dei dati personali di una persona, riguardanti le date e le finalità di tali operazioni, nonché l’identità delle persone fisiche che hanno effettuato tali operazioni, costituiscono informazioni che detta persona ha il diritto di ottenere dal titolare del trattamento in forza di tale disposizione.

38 In via preliminare, occorre ricordare che, secondo una costante giurisprudenza, l’interpretazione di una disposizione del diritto dell’Unione richiede di tener conto non soltanto della sua formulazione, ma anche del contesto in cui essa si inserisce nonché degli obiettivi e della finalità che persegue l’atto di cui essa fa parte [sentenza del 12 gennaio 2023, Österreichische Post (Informazioni relative ai destinatari di dati personali), C‑154/21, EU:C:2023:3, punto 29].

39 Per quanto riguarda, anzitutto, la formulazione dell’articolo 15, paragrafo 1, del RGPD, ai sensi di tale disposizione l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l’accesso a detti dati personali nonché alle informazioni relative, in particolare, alle finalità del trattamento e ai destinatari o alle categorie di destinatari a cui tali dati personali sono stati o saranno comunicati.

40 In proposito, si deve sottolineare che le nozioni di cui all’articolo 15, paragrafo 1, del RGPD sono definite all’articolo 4 di tale regolamento.

41 In tal senso, in primo luogo, l’articolo 4, punto 1, del RGPD dispone che s’intende per dato personale «qualsiasi informazione riguardante una persona fisica identificata o identificabile» e precisa che «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale».

42 L’uso della formulazione «qualsiasi informazione» nella definizione della nozione di «dato personale», di cui a tale disposizione, rispecchia l’obiettivo del legislatore dell’Unione di attribuire un’accezione estesa a tale nozione, che comprende potenzialmente ogni tipo di informazioni, tanto oggettive quanto soggettive, sotto forma di pareri o di valutazioni, a condizione che esse «riguardino» la persona interessata (sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 23).

43 È stato dichiarato, in proposito, che un’informazione riguarda una persona fisica identificata o identificabile qualora, in ragione del suo contenuto, della sua finalità o del suo effetto, essa sia connessa a una persona identificabile (sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 24).

44 Quanto al carattere «identificabile» di una persona, il considerando 26 del RGPD precisa che occorre prendere in considerazione «tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente».

45 Ne consegue che l’ampia definizione della nozione di «dati personali» non comprende soltanto i dati raccolti e conservati dal titolare del trattamento, ma include altresì tutte le informazioni risultanti da un trattamento di dati personali che riguardano una persona identificata o identificabile (v., in tal senso, sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 26).

46 In secondo luogo, per quanto riguarda la nozione di «trattamento», quale definita all’articolo 4, punto 2, del RGPD, si deve rilevare che, mediante la formulazione «qualsiasi operazione», il legislatore dell’Unione ha inteso dare a tale nozione una portata ampia, ricorrendo ad un elenco di operazioni non esaustivo applicate a dati personali o insiemi di dati personali, che includono, tra l’altro, la raccolta, la registrazione, la conservazione o, ancora, la consultazione (v., in tal senso, sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 27).

47 In terzo luogo, l’articolo 4, punto 9, del RGPD precisa che per «destinatario» s’intende «la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi».

48 A tal riguardo, la Corte ha dichiarato che l’interessato ha il diritto di ottenere dal titolare del trattamento informazioni sui destinatari concreti ai quali i dati personali che lo riguardano sono stati o saranno comunicati [sentenza del 12 gennaio 2023, Österreichische Post (Informazioni relative ai destinatari di dati personali), C‑154/21, EU:C:2023:3, punto 46].

49 Pertanto, dall’analisi testuale dell’articolo 15, paragrafo 1, del RGPD e dalle nozioni in esso contenute risulta che il diritto di accesso che tale disposizione riconosce all’interessato è caratterizzato dall’ampia portata delle informazioni che il titolare del trattamento dei dati deve fornire a detta persona.

50 Per quanto concerne, poi, il contesto in cui si inserisce l’articolo 15, paragrafo 1, del RGPD, è necessario ricordare, anzitutto, che in base al considerando 63 di tale regolamento l’interessato dovrebbe avere il diritto di conoscere e ottenere comunicazioni in particolare in relazione alla finalità per cui i dati personali sono trattati, ove possibile al periodo in cui i dati personali sono trattati e ai destinatari dei dati personali.

51 Inoltre, il considerando 60 del RGPD afferma che i principi di trattamento corretto e trasparente implicano che l’interessato sia informato dell’esistenza del trattamento e delle sue finalità, sottolineando che il titolare del trattamento dovrebbe fornire eventuali ulteriori informazioni necessarie ad assicurare un trattamento corretto e trasparente, prendendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati. Peraltro, conformemente al principio di trasparenza, menzionato dal giudice del rinvio, cui fa riferimento il considerando 58 del RGPD e che sancisce espressamente l’articolo 12, paragrafo 1, di detto regolamento, le informazioni destinate all’interessato devono essere concise, facilmente accessibili e di facile comprensione, e formulate in un linguaggio semplice e chiaro.

52 A tal riguardo, l’articolo 12, paragrafo 1, del RGPD precisa che le informazioni devono essere fornite dal titolare del trattamento per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici, a meno che l’interessato chieda che siano fornite oralmente. Tale disposizione, che è l’espressione del principio di trasparenza, ha lo scopo di garantire che l’interessato sia messo in grado di comprendere pienamente le informazioni che gli vengono inviate (sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 38 e giurisprudenza citata).

53 Dall’analisi contestuale che precede risulta che l’articolo 15, paragrafo 1, del RGPD costituisce una delle disposizioni volte a garantire la trasparenza delle modalità di trattamento dei dati personali nei confronti dell’interessato.

54 Infine, tale interpretazione della portata del diritto di accesso previsto all’articolo 15, paragrafo 1, del RGPD è corroborata dagli obiettivi perseguiti da detto regolamento.

55 Infatti, in primo luogo, esso ha lo scopo, come indicato dai suoi considerando 10 e 11, di assicurare un livello coerente ed elevato di protezione delle persone fisiche all’interno dell’Unione nonché di rafforzare e di disciplinare in modo dettagliato i diritti degli interessati.

56 Inoltre, come risulta dal considerando 63 del RGPD, il diritto di una persona di accedere ai propri dati personali e alle altre informazioni menzionate all’articolo 15, paragrafo 1, di detto regolamento ha lo scopo, anzitutto, di consentire a tale persona di essere consapevole del trattamento e di verificarne la liceità. Ne consegue, secondo tale considerando e come indicato al punto 50 della presente sentenza, che ogni interessato dovrebbe avere il diritto di conoscere e ottenere comunicazioni in particolare in relazione alla finalità per cui i dati personali sono trattati, ove possibile al periodo in cui i dati personali sono trattati, ai destinatari dei dati personali nonché alla logica cui risponde il trattamento dei dati.

57 A tal riguardo, occorre ricordare, in secondo luogo, che la Corte ha già dichiarato che il diritto di accesso previsto all’articolo 15 del RGPD deve consentire all’interessato di verificare che i dati personali che lo riguardano siano corretti e trattati in modo lecito (sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 34).

58 In particolare, tale diritto di accesso è necessario affinché l’interessato possa esercitare, se del caso, il suo diritto di rettifica, il suo diritto alla cancellazione («diritto all’oblio») e il suo diritto di limitazione di trattamento, diritti questi che gli sono riconosciuti, rispettivamente, dagli articoli da 16 a 18 del RGPD, il suo diritto di opposizione al trattamento dei suoi dati personali, previsto all’articolo 21 del RGPD, nonché il suo diritto di agire in giudizio nel caso in cui subisca un danno, previsto agli articoli 79 e 82 del RGPD (sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 35 e giurisprudenza citata).

59 Pertanto, l’articolo 15, paragrafo 1, del RGPD costituisce una delle disposizioni volte a garantire che le modalità attraverso le quali i dati personali sono trattati siano trasparenti per l’interessato [sentenza del 12 gennaio 2023, Österreichische Post (Informazioni relative ai destinatari di dati personali), C‑154/21, EU:C:2023:3, punto 42], non essendo quest’ultimo in caso contrario in grado di verificare che i dati che lo riguardano siano trattati in modo lecito né di esercitare le prerogative previste in particolare agli articoli da 16 a 18, 21, 79 e 82 di detto regolamento.

60 Nel caso di specie, dalla decisione di rinvio risulta che J.M. ha chiesto alla Pankki S di fornirgli informazioni relative alle operazioni di consultazione effettuate sui suoi dati personali tra il 1° novembre 2013 e il 31 dicembre 2013, informazioni che riguardavano le date di tali consultazioni, le loro finalità e l’identità delle persone che avevano svolto dette consultazioni. Il giudice del rinvio dichiara che la comunicazione degli archivi generati in occasione di dette operazioni consentirebbe di rispondere alla domanda di J.M.

61 Nel caso di specie, è pacifico che le operazioni di consultazione aventi ad oggetto i dati personali del ricorrente nel procedimento principale costituiscono un «trattamento» ai sensi dell’articolo 4, punto 2, del RGPD, con la conseguenza che esse conferiscono a quest’ultimo, in forza dell’articolo 15, paragrafo 1, di tale regolamento, non solo un diritto di accesso a tali dati personali, ma anche un diritto a che gli siano comunicate le informazioni relative a dette operazioni, quali menzionate da quest’ultima disposizione.

62 Per quanto riguarda le informazioni come richieste da J.M., la comunicazione, anzitutto, delle date delle operazioni di consultazione è tale da consentire all’interessato di ottenere la conferma che i suoi dati personali sono stati effettivamente trattati in un dato momento. Inoltre, poiché le condizioni di liceità previste agli articoli 5 e 6 del RGPD devono essere soddisfatte al momento del trattamento stesso, la data di quest’ultimo costituisce un elemento che consente di verificarne la liceità. Occorre, poi, rilevare che l’informazione relativa alle finalità dei trattamenti è espressamente prevista all’articolo 15, paragrafo 1, lettera a), di tale regolamento. Infine, l’articolo 15, paragrafo 1, lettera c), di detto regolamento dispone che il titolare del trattamento informa l’interessato dei destinatari a cui i suoi dati sono stati comunicati.

63 Per quanto concerne, più in particolare, la comunicazione dell’insieme di tali informazioni mediante la trasmissione degli archivi relativi alle operazioni di trattamento controverse nel procedimento principale, si deve rilevare che l’articolo 15, paragrafo 3, prima frase, del RGPD dispone che il titolare del trattamento «fornisce una copia dei dati personali oggetto di trattamento».

64 A tal riguardo, la Corte ha già dichiarato che la nozione di «copia» così utilizzata designa la riproduzione o la trascrizione fedele di un originale, cosicché una descrizione puramente generale dei dati oggetto di trattamento o un rinvio a categorie di dati personali non corrisponderebbe a detta definizione. Inoltre, dalla formulazione dell’articolo 15, paragrafo 3, prima frase, di tale regolamento risulta che l’obbligo di comunicazione si ricollega ai dati personali oggetto del trattamento di cui trattasi (v., in tal senso, sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 21).

65 La copia che il titolare del trattamento è tenuto a fornire deve contenere tutti i dati personali oggetto di trattamento, deve presentare tutte le caratteristiche che consentano all’interessato di esercitare effettivamente i suoi diritti a norma di detto regolamento e, pertanto, deve riprodurre integralmente e fedelmente tali dati (v., in tal senso, sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punti 32 e 39).

66 Infatti, per garantire che le informazioni così fornite siano facilmente comprensibili, come richiede l’articolo 12, paragrafo 1, del RGPD, in combinato disposto con il considerando 58 di tale regolamento, la riproduzione di estratti di documenti o addirittura di documenti interi o, ancora, di estratti di banche dati contenenti, tra l’altro, i dati personali oggetto di trattamento può rivelarsi indispensabile nel caso in cui la contestualizzazione dei dati trattati sia necessaria per garantirne l’intelligibilità. In particolare, quando si generano dati personali a partire da altri dati o quando dati del genere derivano da campi a testo libero, vale a dire, da una mancanza di indicazioni che rivelino un’informazione sull’interessato, il contesto in cui tali dati sono oggetto di trattamento è un elemento indispensabile per consentire all’interessato di disporre di un accesso trasparente e di una presentazione intelligibile di tali dati (sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punti 41 e 42).

67 Nel caso di specie, come rilevato dall’avvocato generale ai paragrafi da 88 a 90 delle sue conclusioni, gli archivi, che contengono le informazioni richieste da J.M., corrispondono a registri delle attività, ai sensi dell’articolo 30 del RGPD. Si deve ritenere che essi rientrino nelle misure, menzionate al considerando 74 di tale regolamento, messe in atto dal titolare del trattamento per dimostrare la conformità delle attività di trattamento a detto regolamento. L’articolo 30, paragrafo 4, del medesimo regolamento specifica in particolare che, su richiesta, essi devono essere messi a disposizione dell’autorità di controllo.

68 Nella misura in cui tali registri delle attività non contengono informazioni relative a una persona fisica identificata o identificabile ai sensi della giurisprudenza richiamata ai punti 42 e 43 della presente sentenza, essi si limitano a consentire al titolare del trattamento di adempiere ai propri obblighi nei confronti dell’autorità di controllo che ne richiede la trasmissione.

69 Per quanto riguarda più in particolare gli archivi del titolare del trattamento, la trasmissione di una copia delle informazioni contenute in tali archivi può risultare necessaria per adempiere all’obbligo di fornire all’interessato l’accesso all’insieme delle informazioni menzionate all’articolo 15, paragrafo 1, del RGPD e per assicurare un trattamento corretto e trasparente, consentendogli così di esercitare in modo pieno i diritti riconosciutigli da detto regolamento.

70 Infatti, in primo luogo, tali archivi rivelano l’esistenza di un trattamento di dati, informazione cui l’interessato deve avere accesso ai sensi dell’articolo 15, paragrafo 1, del RGPD. Inoltre, essi forniscono informazioni circa la frequenza e l’intensità delle operazioni di consultazione, consentendo in tal modo all’interessato di verificare che il trattamento svolto sia effettivamente motivato dalle finalità fatte valere dal titolare del trattamento.

71 In secondo luogo, tali archivi contengono le informazioni relative all’identità delle persone che hanno svolto le operazioni di consultazione.

72 Nel caso di specie, dalla decisione di rinvio risulta che le persone che hanno effettuato le operazioni di consultazione controverse nel procedimento principale sono dipendenti della Pankki S che hanno agito sotto la sua autorità e conformemente alle sue istruzioni.

73 Se dall’articolo 15, paragrafo 1, lettera c), del RGPD risulta che l’interessato ha il diritto di ottenere dal titolare del trattamento le informazioni relative ai destinatari o alle categorie di destinatari a cui i dati personali sono stati o saranno comunicati, i dipendenti del titolare del trattamento non possono essere considerati come «destinatari», ai sensi dell’articolo 15, paragrafo 1, lettera c), del RGPD, come ricordato ai punti 47 e 48 della presente sentenza, quando trattano dati personali sotto l’autorità di detto titolare e conformemente alle sue istruzioni, come rilevato dall’avvocato generale al paragrafo 63 delle sue conclusioni.

74 A tal riguardo, è necessario porre in evidenza che, conformemente all’articolo 29 del RGPD, chiunque agisca sotto l’autorità del titolare del trattamento, che abbia accesso a dati personali, non può trattare tali dati se non è istruito in tal senso da detto titolare.

75 Ciò premesso, le informazioni contenute negli archivi relative alle persone che hanno consultato i dati personali dell’interessato potrebbero costituire informazioni rientranti tra quelle menzionate all’articolo 4, punto 1, del RGPD, come quelle richiamate al punto 41 della presente sentenza, idonee a consentirgli di verificare la liceità del trattamento di cui sono stati oggetto i suoi dati e, in particolare, di assicurarsi che le operazioni di trattamento siano state effettivamente svolte sotto l’autorità del titolare del trattamento e conformemente alle sue istruzioni.

76 Tuttavia, in primo luogo, dalla decisione di rinvio risulta che le informazioni contenute in archivi come quelli di cui trattasi nel procedimento principale consentono di identificare i dipendenti che hanno svolto le operazioni di trattamento e contengono dati personali di tali dipendenti, ai sensi dell’articolo 4, punto 1, del RGPD.

77 A tal riguardo, occorre ricordare che, per quanto riguarda il diritto di accesso previsto all’articolo 15 del RGPD, il considerando 63 di tale regolamento precisa che «[t]ale diritto non dovrebbe ledere i diritti e le libertà altrui».

78 Infatti, conformemente al considerando 4 del RGPD, il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, poiché dev’essere considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali (v., in tal senso, sentenza del 16 luglio 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559, punto 172).

79 Orbene, anche supponendo che la comunicazione delle informazioni relative all’identità dei dipendenti del titolare del trattamento all’interessato dal trattamento sia necessaria a quest’ultimo per verificare la liceità del trattamento dei suoi dati personali, essa è tuttavia tale da ledere i diritti e le libertà di tali dipendenti.

80 In tali circostanze, in caso di conflitto tra, da un lato, l’esercizio di un diritto di accesso che assicura l’effetto utile dei diritti riconosciuti dal RGPD all’interessato e, dall’altro, i diritti o le libertà altrui, occorre effettuare un bilanciamento tra i diritti e le libertà in questione. Ove possibile, occorre scegliere modalità di comunicazione che non ledano i diritti o le libertà altrui, tenendo conto del fatto che tali considerazioni non devono «condurre a un diniego a fornire all’interessato tutte le informazioni», come risulta dal considerando 63 del RGPD (v., in tal senso, la sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 44).

81 Tuttavia, in secondo luogo, dalla decisione di rinvio risulta che J.M. non chiede che gli siano comunicate le informazioni relative all’identità dei dipendenti della Pankki S che hanno svolto le operazioni di consultazione dei suoi dati personali, con la motivazione che essi non avrebbero effettivamente agito sotto l’autorità e conformemente alle istruzioni del titolare del trattamento, ma sembra nutrire dubbi circa la veridicità delle informazioni relative alla finalità di tali consultazioni che la Pankki S gli ha comunicato.

82 In tali circostanze, qualora l’interessato dovesse ritenere che le informazioni comunicate dal titolare del trattamento siano insufficienti per consentirgli di dissipare i dubbi che egli nutre in merito alla liceità del trattamento di cui sono stati oggetto i suoi dati personali, egli dispone, in base all’articolo 77, paragrafo 1, del RGPD, del diritto di presentare un reclamo all’autorità di controllo, la quale ha il potere, in forza dell’articolo 58, paragrafo 1, lettera a), di tale regolamento, di chiedere al titolare del trattamento di fornirle ogni informazione di cui necessiti per esaminare il reclamo dell’interessato.

83 Dalle considerazioni che precedono risulta che l’articolo 15, paragrafo 1, del RGPD dev’essere interpretato nel senso che le informazioni relative a operazioni di consultazione dei dati personali di una persona, riguardanti le date e le finalità di tali operazioni, costituiscono informazioni che detta persona ha il diritto di ottenere dal titolare del trattamento in forza di tale disposizione. Per contro, la suddetta disposizione non riconosce un siffatto diritto con riferimento alle informazioni relative all’identità dei dipendenti di detto titolare che hanno svolto tali operazioni sotto la sua autorità e conformemente alle sue istruzioni, a meno che tali informazioni siano indispensabili per consentire all’interessato di esercitare effettivamente i diritti che gli sono conferiti da tale regolamento e a condizione che si tenga conto dei diritti e delle libertà di tali dipendenti.

Sulla terza questione

84 Con la sua terza questione, il giudice del rinvio chiede, in sostanza, se la circostanza, da un lato, che il titolare del trattamento eserciti un’attività bancaria nell’ambito di un’attività regolamentata e, dall’altro, che la persona i cui dati personali sono stati trattati nella sua qualità di cliente del titolare del trattamento sia stata anche dipendente di tale titolare, rilevi ai fini della definizione della portata del diritto di accesso riconosciutale dall’articolo 15, paragrafo 1, del RGPD.

85 Anzitutto, è necessario porre in evidenza che, per quanto riguarda l’ambito di applicazione del diritto di accesso previsto all’articolo 15, paragrafo 1, del RGPD, nessuna disposizione di tale regolamento opera alcuna distinzione in funzione della natura delle attività del titolare del trattamento o della qualità della persona i cui dati personali sono oggetto di trattamento.

86 Per quanto concerne, da un lato, il carattere regolamentato dell’attività della Pankki S, è vero che l’articolo 23 del RGPD consente agli Stati membri di limitare, mediante misure legislative, la portata degli obblighi e dei diritti previsti in particolare all’articolo 15 di tale regolamento.

87 Tuttavia, dalla decisione di rinvio non risulta che l’attività della Pankki S sia oggetto di una siffatta normativa.

88 Per quanto concerne, dall’altro lato, il fatto che J.M. sia stato nel contempo cliente e dipendente della Pankki S, occorre rilevare che, tenuto conto non solo degli obiettivi del RGPD, ma anche della portata del diritto di accesso di cui gode l’interessato, come ricordato ai punti 49 e da 55 a 59 della presente sentenza, il contesto in cui tale persona chiede l’accesso alle informazioni menzionate all’articolo 15, paragrafo 1, del RGPD non può avere alcuna influenza sulla portata di detto diritto.

89 Di conseguenza, l’articolo 15, paragrafo 1, del RGPD dev’essere interpretato nel senso che la circostanza che il titolare del trattamento eserciti un’attività bancaria nell’ambito di un’attività regolamentata e che la persona i cui dati personali sono stati trattati nella sua qualità di cliente del titolare del trattamento sia stata anche dipendente di tale titolare non incide, in linea di principio, sulla portata del diritto di cui beneficia tale persona in forza di detta disposizione.

Sulle spese

90 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Prima Sezione) dichiara:

1) L’articolo 15 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), letto alla luce dell’articolo 99, paragrafo 2, di tale regolamento,

dev’essere interpretato nel senso che:

si applica a una domanda di accesso alle informazioni menzionate da detta disposizione allorché i trattamenti di cui a tale domanda sono stati svolti prima della data in cui è divenuto applicabile detto regolamento, ma la domanda è stata presentata successivamente a tale data.

2) L’articolo 15, paragrafo 1, del regolamento 2016/679

dev’essere interpretato nel senso che:

le informazioni relative a operazioni di consultazione dei dati personali di una persona, riguardanti le date e le finalità di tali operazioni, costituiscono informazioni che detta persona ha il diritto di ottenere dal titolare del trattamento in forza di tale disposizione. Per contro, la suddetta disposizione non riconosce un siffatto diritto con riferimento alle informazioni relative all’identità dei dipendenti di detto titolare che hanno svolto tali operazioni sotto la sua autorità e conformemente alle sue istruzioni, a meno che tali informazioni siano indispensabili per consentire all’interessato di esercitare effettivamente i diritti che gli sono conferiti da tale regolamento e a condizione che si tenga conto dei diritti e delle libertà di tali dipendenti.

3) L’articolo 15, paragrafo 1, del regolamento 2016/679

dev’essere interpretato nel senso che:

la circostanza che il titolare del trattamento eserciti un’attività bancaria nell’ambito di un’attività regolamentata e che la persona i cui dati personali sono stati trattati nella sua qualità di cliente del titolare del trattamento sia stata anche dipendente di tale titolare non incide, in linea di principio, sulla portata del diritto di cui beneficia tale persona in forza di detta disposizione.

Firme

* Lingua processuale: il finlandese.

CONCLUSIONI DELL’AVVOCATO GENERALE

M. CAMPOS SÁNCHEZ-BORDONA

presentate il 15 dicembre 2022 (1)

Causa C‑579/21

J.M.

con l’intervento del:

Apulaistietosuojavaltuutettu,

Pankki S

[domanda di pronuncia pregiudiziale, proposta dal Itä-Suomen hallinto-oikeus (Tribunale amministrativo della Finlandia orientale, Finlandia)]

«Rinvio pregiudiziale – Trattamento dei dati personali – Regolamento (UE) 2016/679 – Dati contenuti nelle registrazioni – Diritto di accesso – Nozione di dati personali – Nozione di destinatario – Personale dipendente del titolare del trattamento»

1. Un impiegato e, allo stesso tempo, cliente di un istituto di credito, ha chiesto a quest’ultimo di fornirgli informazioni sull’identità delle persone che avevano consultato i suoi dati personali nell’ambito di un’indagine interna. A fronte del rifiuto da parte dell’istituto di fornirgli dette informazioni, ha esperito i pertinenti mezzi di ricorso fino a giungere all’Itä-Suomen hallinto-oikeus (Tribunale amministrativo della Finlandia orientale, Finlandia).

2. Detto tribunale ha sottoposto alla Corte una domanda di pronuncia pregiudiziale sull’interpretazione del regolamento (UE) 2016/679 (2). Rispondendo alla questione, la Corte dovrà pronunciarsi sul diritto dell’interessato di accedere a determinate informazioni relative al trattamento dei suoi dati personali.

I. Contesto normativo

A. Diritto dell’Unione. RGPD

3. Il considerando 11 afferma quanto segue:

«Un’efficace protezione dei dati personali in tutta l’Unione presuppone il rafforzamento e la disciplina dettagliata dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati personali, nonché poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali e sanzioni equivalenti per le violazioni negli Stati membri».

4. L’articolo 4 («Definizioni») così dispone:

«Ai fini del presente regolamento s’intende per:

1) “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

9) “destinatario”: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi (…)».

5. L’articolo 15 («Diritto di accesso dell’interessato»), paragrafo 1, recita come segue:

«L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:

a) le finalità del trattamento;

b) le categorie di dati personali in questione;

c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;

d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

f) il diritto di proporre reclamo a un’autorità di controllo;

g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;

6. Ai sensi dell’articolo 24 («Responsabilità del titolare del trattamento»), paragrafo 1:

7. Ai sensi dell’articolo 25 («Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita»), paragrafo 2:

«Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica».

8. L’articolo 29 («Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento») così prevede:

9. L’articolo 30 («Registri delle attività di trattamento») dispone quanto segue:

«1. Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:

a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;

b) le finalità del trattamento;

c) una descrizione delle categorie di interessati e delle categorie di dati personali;

d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;

(…)

f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

2. Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:

a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;

b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;

c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale (…)

d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

3. I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico.

4. Su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.

5. Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati (…) o i dati personali relativi a condanne penali e a reati (…)».

10. L’articolo 58 («Poteri»), paragrafo 1, così recita:

«Ogni autorità di controllo ha tutti i poteri di indagine seguenti:

(…)».

B. Diritto nazionale

1. Tietosuojalaki (1050/2018) (3)

11. In conformità dell’articolo 30, le disposizioni relative al trattamento dei dati personali dei lavoratori, alle prove e ai controlli da eseguire sugli stessi, ai requisiti da osservare al riguardo nonché ai controlli tecnici sul posto di lavoro e alla consultazione e apertura di e-mail di un lavoratore sono contenute nella Laki yksityisyyden suojasta työelämässä (759/2004) (4).

12. Ai sensi dell’articolo 34, paragrafo 1, l’interessato non ha diritto di accesso ai dati raccolti che lo riguardano ai sensi dell’articolo 15 del RGPD, se:

1) la messa a disposizione dei dati potrebbe pregiudicare la sicurezza nazionale, la difesa, l’ordine pubblico e la pubblica sicurezza o mettere a rischio la prevenzione o l’accertamento di reati;

2) la messa a disposizione dei dati potrebbe rappresentare un serio pericolo per la salute o la cura dell’interessato o per i diritti dell’interessato o di un terzo, oppure

3) i dati personali vengono utilizzati per attività di controllo e sorveglianza e la mancata comunicazione dei dati risulta necessaria per tutelare importanti interessi economici o finanziari della Finlandia o dell’Unione europea.

13. Ai sensi del paragrafo 2 della medesima disposizione, qualora solo una parte dei dati di cui al paragrafo 1 non rientri nell’ambito del diritto all’accesso disciplinato dall’articolo 15 del RGPD, l’interessato è autorizzato a ottenere informazioni su tutti gli altri dati che lo riguardano.

14. Il paragrafo 3 dell’articolo 34 prevede che si debbano comunicare all’interessato i motivi di detta restrizione, purché ciò non comprometta lo scopo della restrizione.

15. Ai sensi del paragrafo 4 dell’articolo 34, i dati menzionati all’articolo 15, paragrafo 1, del RGPD devono, dietro richiesta dell’interessato, essere messi a disposizione del garante della protezione dei dati, se l’interessato non ha diritto di accesso ai dati raccolti che lo riguardano.

2. Laki yksityisyyden suojasta työelämässä (759/2004)

16. In conformità della sezione 2, articolo 4, paragrafo 2, il datore di lavoro è tenuto a informare preventivamente il lavoratore in merito alla raccolta di dati che servono a valutare la sua affidabilità. Se il datore di lavoro verifica la solvibilità finanziaria del lavoratore, egli deve inoltre comunicare a quest’ultimo da quale fonte ha ottenuto le informazioni di natura finanziaria. Qualora i dati sul lavoratore siano stati raccolti presso un soggetto diverso dal lavoratore medesimo, il datore di lavoro deve comunicare al lavoratore i dati ottenuti prima che vengano utilizzati ai fini di decisioni che lo riguardano. Gli obblighi del titolare del trattamento di fornire dati all’interessato e il diritto di accesso dell’interessato a tali dati sono disciplinati nel capo III del RGPD.

II. Fatti, procedimento e questioni pregiudiziali

17. Nel 2014, J.M. veniva a conoscenza del fatto che i suoi dati di cliente dell’istituto di credito Suur-Savon Osuuspankki (in prosieguo: la «Pankki») erano stati consultati nel periodo compreso tra il 1° novembre e il 31 dicembre 2013. Durante detto periodo, oltre a essere un cliente, J.M. era un impiegato della Pankki.

18. Il 29 maggio 2018, sospettando che i motivi di tale consultazione non fossero pienamente legittimi, J.M. chiedeva alla Pankki di rilasciargli informazioni sull’identità degli impiegati che avevano avuto accesso ai suoi dati nel periodo summenzionato nonché sulle finalità del trattamento.

19. Nel frattempo, la Pankki aveva licenziato J.M., il quale aveva motivato la sua richiesta, segnatamente, con il fatto di voler chiarire i motivi del licenziamento.

20. Il 30 agosto 2018, la Pankki, in qualità di titolare del trattamento, si rifiutava di fornire a J.M. i nomi degli impiegati che avevano effettuato il trattamento dei suoi dati. A suo avviso, il diritto di cui all’articolo 15 del RGPD non si applica ai registri giornalieri o ai protocolli interni nei quali risulta quali impiegati e in quale momento hanno avuto accesso al sistema di elaborazione dati che contiene quelli dei clienti. Inoltre, le informazioni richieste costituirebbero dati personali di detti impiegati e non di J.M.

21. Al fine di dissipare ogni malinteso, la Pankki forniva a J.M. i seguenti ulteriori dettagli:

– nel 2014 il servizio di controllo interno dell’istituto aveva verificato i dati di J.M. in qualità di cliente nel periodo compreso tra il 1° novembre e il 31 dicembre 2013;

– tali verifiche erano in relazione al trattamento dei dati personali di un altro cliente della Pankki, dai quali sarebbe emerso che aveva un rapporto con J.M. che poteva dar luogo a un eventuale conflitto di interessi. L’obiettivo del trattamento era pertanto quello di chiarire la suddetta situazione (5).

22. J.M. sottoponeva il caso all’autorità di controllo nazionale, (Ufficio del Garante della protezione dei dati personali, Finlandia), chiedendo di dare istruzioni alla Pankki affinché comunicasse le informazioni richieste.

23. Il 4 agosto 2020, il Sostituto Garante della protezione dei dati personali respingeva la richiesta di J.M.

24. J.M. ha proposto ricorso dinanzi all’Itä-Suomen hallinto-oikeus (Tribunale amministrativo della Finlandia orientale), sostenendo di essere legittimato, in forza del RGPD, a ricevere informazioni sull’identità e i ruoli delle persone che hanno verificato i suoi dati personali presso l’istituto di credito.

25. In tale contesto, il giudice del rinvio ha sottoposto alla Corte le seguenti questioni:

3) Se rilevi ai fini del procedimento il fatto che si tratta di una banca che esercita un’attività regolamentata o che J.M. fosse nel contempo dipendente e cliente della stessa.

4) Se rilevi ai fini della valutazione delle questioni sopra riportate il fatto che il trattamento dei dati di J.M. sia avvenuto prima dell’entrata in vigore del [RGPD]».

III. Procedimento dinanzi alla Corte

26. La domanda di pronuncia pregiudiziale è pervenuta presso la cancelleria della Corte il 22 settembre 2021.

27. Sono state presentate osservazioni scritte da J.M., dalla Pankki, dai governi austriaco, ceco e finlandese, nonché dalla Commissione europea.

28. All’udienza, tenutasi il 12 ottobre 2022, sono comparsi J.M., l’Ufficio del Garante della protezione dei dati personali, la Pankki, il governo finlandese e la Commissione.

IV. Valutazione

29. Dato che il giudice del rinvio chiede l’interpretazione di diverse disposizioni del RGPD, occorre, anzitutto, determinare se tale regolamento sia, ratione temporis, applicabile alla controversia originaria. La quarta questione pregiudiziale verte proprio su detto dubbio.

A. Applicabilità del RGPD (quarta questione pregiudiziale)

30. Conformemente al suo articolo 99, paragrafo 1, il RGPD è entrato in vigore il 24 maggio 2016. La sua applicabilità, tuttavia, è stata rinviata al 25 maggio 2018 (6).

31. La verifica dei dati personali di J.M. ha avuto luogo nel periodo compreso tra il 1º novembre e il 31 dicembre 2013, vale a dire, prima dell’entrata in vigore e dell’applicabilità del RGPD.

32. Tuttavia, la data che qui rileva è quella del 29 maggio 2018, giorno in cui J.M., avvalendosi dell’articolo 15, paragrafo 1, del RGPD (applicabile dal 25 maggio 2018), ha richiesto le informazioni controverse.

33. Come sottolineato dal governo austriaco, l’articolo 15, paragrafo 1, del RGPD conferisce agli interessati un diritto di natura procedurale (diritto di accesso) di ottenere informazioni sul trattamento dei loro dati personali (7). In quanto tale, detta norma si applica a decorrere dalla sua entrata in vigore (8). J.M. poteva pertanto invocarla quando ha richiesto le informazioni alla Pankki.

34. Indubbiamente, la liceità del trattamento dei dati personali raccolti prima dell’entrata in vigore del RGPD deve essere valutata alla luce delle disposizioni di diritto sostanziale allora in vigore, vale a dire la direttiva 95/46/CE (9) e, per quanto applicabile retroattivamente, il RGPD (10).

35. Poiché è pacifico che le informazioni richieste fossero in possesso del titolare del trattamento quando J.M. ha richiesto di accedervi (che è il diritto previsto dall’articolo 15, paragrafo 1, del RGPD), era di applicazione quest’ultimo regolamento (11).

36. Il fatto che i dati controversi siano stati trattati prima dell’entrata in vigore del RGPD è pertanto irrilevante ai fini dell’accesso o del diniego delle informazioni richieste dall’interessato ai sensi dell’articolo 15, paragrafo 1, del RGPD.

B. Sulle questioni pregiudiziali prima e seconda

37. La prima e la seconda questione pregiudiziale possono essere esaminate congiuntamente. Si pone, in sostanza, la questione se i dati personali di J.M., raccolti e trattati dalla Pankki, corrispondano alle informazioni che l’interessato ha il diritto di ottenere ai sensi dell’articolo 15, paragrafo 1, del RGPD.

1. Identità dell’impiegato e dati personali dell’interessato

38. Ricordo che le informazioni richieste da J.M. riguardavano l’identità degli impiegati che avevano consultato i suoi dati personali in qualità di cliente nel 2013, nonché il momento in cui è stato effettuato il trattamento e la finalità di questo.

39. In udienza è stato confermato che J.M. si è limitato a chiedere che si conoscesse l’identità di detti impiegati. Nella controversia è espressamente non contestato che il trattamento dei suoi dati personali da parte dell’istituto bancario sia stato effettuato in modo lecito (12).

40. Orbene:

– per quanto riguarda il momento del trattamento, dall’ordinanza di rinvio si evince che J.M. ne era già a conoscenza quando ha presentato la sua richiesta;

– per quanto concerne le finalità del trattamento, la Pankki le ha comunicate a J.M. nei termini precedentemente indicati (13).

41. La discussione verte dunque esclusivamente sulle informazioni relative all’identità degli impiegati della Pankki che hanno trattato i dati personali di J.M.

42. In realtà, dette informazioni vertono su un dettaglio delle operazioni di trattamento e non, in senso stretto, sui dati personali dell’interessato, ai sensi dell’articolo 4, punto 1, del RGPD (14).

43. È chiaro che la persona i cui dati sono stati oggetto di consultazione era J.M. (15) Dal momento che quest’ultimo ha ottenuto dalla Pankki la conferma che i suoi dati erano stati trattati (16), le informazioni che aveva diritto di ottenere, ai sensi dell’articolo 15, paragrafo 1, del RGPD, sono quelle elencate dalle lettere da a) a h) di detta disposizione (17). Nel fornirle, si favorisce l’esercizio dei diritti dell’interessato (18), nell’ambito dei meccanismi che garantiscono la liceità del trattamento dei dati.

44. Dall’articolo 15, paragrafo 1, del RGPD si evince che le informazioni a cui esso fa riferimento riguardano le circostanze relative al trattamento dei dati.

45. Infatti, l’articolo 15, paragrafo 1, del RGPD conferisce all’interessato il diritto di ottenere dal titolare del trattamento:

– in primo luogo, la «conferma che sia o meno in corso un trattamento di dati personali che lo riguardano»;

– in secondo luogo, una volta confermata l’esistenza di un trattamento, l’«(…) accesso ai dati personali e alle seguenti informazioni» (19), vale a dire, a quanto elencato alle lettere da a) a h) di detta disposizione.

46. La disposizione distingue tra «dati personali», da un lato, e «informazioni» di cui alle lettere del paragrafo 1, dall’altro.

47. Le informazioni che devono essere fornite all’interessato ai sensi delle lettere da a) a h) dell’articolo 15, paragrafo 1, del RGPD non possono dunque essere confuse con i dati personali di quest’ultimo, ai sensi dell’articolo 4, punto 1, dello stesso regolamento.

48. Non si tratta di dati, ovviamente, bensì di informazioni riguardanti:

– «le finalità del trattamento» [lettera a)];

– «le categorie di dati personali in questione» [lettera b)];

– il «periodo di conservazione» [lettera d)];

– i diritti dell’interessato di cui alle lettere e), f) e g) (20);

– l’esistenza di un processo decisionale automatizzato [lettera h)].

49. In tutti questi casi, le informazioni riguardano o taluni diritti dell’interessato o, in particolare, elementi relativi al trattamento effettuato, come la sua finalità (che equivale alla sua causa) e il suo oggetto (le categorie di dati trattati).

50. Le informazioni sui destinatari ai quali i dati personali dell’interessato sono stati comunicati o saranno comunicati [articolo 15, paragrafo 1, lettera c), del RGPD] presentano ulteriori problemi concettuali, ai quali farò immediatamente riferimento.

51. L’articolo 15, paragrafo 1, del RGPD prevede, in sostanza, un diritto di accesso alle informazioni riguardo il trattamento in sé e alle circostanze in cui i dati personali sono trattati. A tali informazioni si aggiungono quelle sui diritti di cui dispone l’interessato con riferimento ai dati oggetto del trattamento, come quello di proporre reclamo a un’autorità di controllo.

52. La mera esistenza del trattamento e le sue circostanze non costituiscono, a mio avviso, «dati personali» ai sensi dell’articolo 4, punto 1, del RGPD.

53. Certamente, dal trattamento possono scaturire decisioni che riguardano l’interessato, come rilevato dal giudice del rinvio (21). Ma tale risultato non dipenderà da quale o quali persone fisiche abbiano, concretamente, esaminato i dati per conto e sotto la responsabilità della Pankki, che sono le informazioni controverse nel procedimento principale.

54. Pertanto, J.M. avrebbe diritto a che la Pankki, in quanto titolare del trattamento, lo informi sui dati personali da essa detenuti, ottenuti sia dallo stesso J.M. (articolo 13 RGPD), sia con altri mezzi (articolo 14 RGPD). Avrebbe altresì diritto – in questo caso ai sensi dell’articolo 15 del RGPD – alle informazioni sull’esistenza e sulle circostanze di ogni trattamento di cui tali dati sono stati oggetto, ma non perché questi ultimi costituiscano di per sé un «dato personale», ma in forza di un obbligo esplicito ai sensi dell’articolo 15 del RGPD (22).

55. Per quanto riguarda ciò che esporrò più diffusamente in seguito, ciò che rileva nella presente causa è che l’identità degli impiegati che hanno consultato i dati di J.M. non costituisce un «dato personale» di quest’ultimo.

56. Diverso è il caso in cui nei protocolli o nei registri a cui farò riferimento in seguito figurino, direttamente o indirettamente, dati personali dell’interessato, diversi dalla menzione degli impiegati che vi hanno avuto accesso. Se ciò si verifica, o meno, dipenderà in larga misura dal contenuto dei relativi protocolli o registri. Ad ogni modo, ripeto, una volta che l’oggetto della controversia originaria è stato circoscritto alla conoscenza dell’identità degli impiegati della Pankki, non si tratta di un dato personale di J.M., bensì di detti impiegati.

2. Accesso alle informazioni sui destinatari a cui i dati personali sono stati comunicati

57. Il giudice del rinvio si chiede se, anche se non si trattasse di dati personali di J.M., quest’ultimo abbia il diritto, alla luce dell’articolo 15, paragrafo 1, lettere a) e c), del RGPD, a che la Pankki gli fornisca informazioni sugli impiegati che hanno trattato i suoi dati personali.

58. Ai sensi della lettera a), l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma di quali siano le finalità del trattamento. Tuttavia, tale lettera (che, nella presente causa, è stata rispettata, poiché la Pankki ha informato J.M. circa l’obiettivo del trattamento) non fornisce criteri per individuare chi siano i destinatari dei dati personali di J.M.

59. Al contrario, la questione è pregna di senso quando richiede l’interpretazione della lettera c) dell’articolo 15, paragrafo 1, del RGPD. Ricordo che, ai sensi della citata lettera, l’interessato ha il diritto di ottenere informazioni sui «destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati (…)».

60. L’articolo 4, punto 9, del RGPD, a sua volta, intende per «destinatario» «la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi».

61. Quest’ultimo inciso («che si tratti o meno di terzi») potrebbe dare adito a fraintendimenti sull’ambito soggettivo della disposizione, come è stato osservato nel corso dell’udienza. Una lettura superficiale e, a mio avviso, erronea potrebbe ingenerare l’idea che per «destinatario» non si intenda solo qualsiasi terzo a cui la Pankki ha comunicato i dati personali di J.M., ma anche ciascuno degli impiegati che, in particolare, consultano tali dati in nome e per conto della persona giuridica che è la Pankki.

62. L’articolo 4, punto 10, del RGPD definisce un «terzo» come la «persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile» (23).

63. Orbene, alla luce di tali premesse, ritengo che la nozione di destinatario non comprenda gli impiegati di una persona giuridica che, utilizzando il sistema informatico di quest’ultima, consultano i dati personali di un cliente per conto dei propri organi direttivi. Nel momento in cui detti impiegati agiscono sotto l’autorità diretta del titolare del trattamento, non acquisiscono, solo per questa circostanza, la natura di «destinatari» dei dati (24).

64. Può tuttavia accadere che un impiegato non rispetti le procedure stabilite dal titolare del trattamento e che, di propria iniziativa, acceda ai dati dei clienti o di altri impiegati in modo illecito. In tal caso, l’impiegato infedele non avrebbe agito in nome e per conto del titolare del trattamento.

65. In tal senso, l’impiegato infedele potrebbe essere qualificato come «destinatario» a cui sono stati «comunicati» (in senso figurato) i dati personali dell’interessato, sebbene di propria iniziativa e quindi in modo illecito (25), o addirittura come titolare (autonomo) del trattamento dei dati (26).

66. Dalla descrizione dei fatti che figura nell’ordinanza di rinvio e dagli argomenti addotti in udienza dalla Pankki risulta che quest’ultima ha autorizzato, sotto la propria responsabilità, i propri impiegati a consultare i dati personali di J.M. Detti impiegati hanno, pertanto, seguito le istruzioni del titolare del trattamento e hanno agito per suo conto. Non possono di conseguenza essere classificati come destinatari ai sensi dell’articolo 15, paragrafo 1, lettera c), del RGPD (27).

67. Diverso è il caso in cui l’identificazione di detti impiegati e del momento in cui uno di loro ha avuto accesso ai dati personali del cliente (vale a dire, il contenuto di dette menzioni negli archivi o nei registri, su cui mi soffermerò immediatamente) deve essere messa a disposizione delle autorità di controllo per verificare la liceità del loro operato.

68. Ciò è confermato dall’articolo 29 del RGPD quando fa riferimento alle persone che agiscono «sotto la sua autorità o sotto quella del titolare del trattamento, che abbia[no] accesso a dati personali». Dette persone non possono trattare tali dati se non sono istruite in tal senso dal loro datore di lavoro, che è l’effettivo titolare (o responsabile) del trattamento.

69. L’obiettivo dell’articolo 15, paragrafo 1, del RGPD, è quello di consentire all’interessato di esercitare (difendere) efficacemente i diritti da esso vantati in relazione ai propri dati personali. Da qui la necessità di indicare chi è il titolare del trattamento e, se del caso, a quali destinatari sono stati comunicati tali dati. Mediante dette informazioni, l’interessato può, oltre al titolare del trattamento, rivolgersi ai destinatari che sono venuti a conoscenza dei suoi dati.

70. Certamente, l’interessato può nutrire dubbi sulla liceità del coinvolgimento di determinate persone nella gestione del trattamento dei suoi dati per conto del titolare o del responsabile del trattamento e sotto la loro supervisione.

71. In tale contesto, come rilevato in udienza dal governo ceco e sottolineato dalla Commissione, l’interessato può rivolgersi al responsabile della protezione dei dati (articolo 38, paragrafo 4, del RGPD) o proporre reclamo all’autorità di controllo [articolo 15, paragrafo 1, lettera f), e articolo 77 del RGPD]. Ciò che non gli viene riconosciuto è il diritto di ottenere direttamente i dati personali (l’identità) dell’impiegato che, in quanto subordinato del titolare o del responsabile del trattamento, agisce, in linea di principio, sulla base delle sue istruzioni.

72. Nel corso dell’udienza si è discusso se la possibilità di rivolgersi al responsabile della protezione dei dati o all’autorità di controllo costituisca una garanzia sufficiente, dal punto di vista della difesa dei diritti della persona i cui dati sono stati trattati.

73. Per risolvere questo dibattito, si può adottare una posizione massimalista, nel senso che ogni interessato avrebbe il diritto di conoscere l’identità degli impiegati del titolare del trattamento che hanno avuto accesso ai suoi dati, anche se su incarico e sotto la direzione di detto titolare.

74. Ritengo che il RGPD non fornisca alcun supporto per sostenere la suddetta argomentazione, fatta salva la possibilità che uno Stato membro adotti quest’ultima nella propria legislazione interna, in uno o più ambiti specifici (28).

75. A mio avviso, non sarebbe prudente che la Corte, assumendo funzioni pressoché legislative, modifichi il RGPD per introdurre un nuovo obbligo di informazione, sovrapposto a quelli di cui all’articolo 15, paragrafo 1, del RGPD. Ciò accadrebbe se il titolare del trattamento fosse obbligato, in modo indiscriminato, a fornire all’interessato l’identità non più del destinatario al quale sono stati comunicati i dati, bensì di qualsiasi impiegato, o persona appartenente alla cerchia ristretta di un’azienda, che ne avesse avuto legittimo accesso (29).

76. Come ha sottolineato la Pankki in udienza, l’identità dei singoli impiegati che hanno gestito il trattamento dei dati di un cliente, costituisce un’informazione particolarmente sensibile dal punto di vista della sicurezza, perlomeno in alcuni settori economici.

77. I suddetti impiegati potrebbero essere esposti a tentativi di pressione e di influenza da parte di coloro che, in qualità di clienti dell’istituto bancario, possono avere interesse a personalizzare il loro interlocutore, che non sarebbe più tanto l’istituto di credito stesso, ma uno o più dei suoi dipendenti, in quanto anello più debole della filiera aziendale. Ciò potrebbe verificarsi, ad esempio, nel caso in cui il monitoraggio delle operazioni, mediante la consultazione dei dati del cliente, venga effettuato al fine di ottemperare agli obblighi cui sono soggette le banche in materia di prevenzione e di lotta alla criminalità nel settore finanziario.

78. È vero che il cliente può avere dubbi sulla correttezza o sull’imparzialità della persona fisica che ha agito per conto del titolare nel trattamento dei suoi dati. Un dubbio del genere potrebbe, se fosse ragionevole, giustificare il suo interesse a conoscere l’identità dell’impiegato, al fine di esercitare il suo diritto di agire contro di lui.

79. Data la delicatezza di dette informazioni, l’interesse a conoscere l’identità dell’impiegato si confronta con l’interesse, altrettanto inconfutabile, dei responsabili del trattamento a preservare la discrezione sull’identità dei propri impiegati e il diritto di questi ultimi alla protezione dei propri dati. Il punto di equilibrio, a mio avviso, si raggiunge attraverso l’intermediazione da parte dell’autorità di controllo, quale arbitro tra questi due interessi contrapposti.

80. In un caso come quello di specie, spetterà dunque all’autorità di controllo valutare, data la sua posizione di imparzialità, se i dubbi sull’operato degli impiegati dipendenti dell’istituto bancario siano fondati e coerenti in misura tale da giustificare il sacrificio della riservatezza sulla loro identità.

3. Accesso alle informazioni sull’identità degli impiegati che figurano negli archivi o nelle registrazioni

81. La risposta alla prima e alla seconda questione pregiudiziale potrebbe concludersi qui, una volta stabilito che gli impiegati dell’istituto, che agiscono per conto e su istruzioni di quest’ultimo, non sono, in senso stretto, i destinatari di cui all’articolo 15, paragrafo 1, lettera c), del RGPD.

82. Tuttavia, è opportuno completare la risposta con un’analisi del presunto diritto dell’interessato a conoscere l’identità degli impiegati, quando essa figuri negli archivi o nelle registrazioni di un ente. Anche se, come ho già anticipato, non tutti questi archivi o registri avranno necessariamente lo stesso contenuto, è generalmente ammesso che da essi si possa ricavare chi (tra gli impiegati del titolare del trattamento), quando e per quali finalità ha consultato i dati dei clienti.

83. Tali tipologie di registri consentono al titolare del trattamento di adempiere al suo obbligo di rispettare i principi enunciati all’articolo 5, paragrafo 1, del RGPD e di mettere in atto le misure tecniche e organizzative adeguate per garantire e verificare la conformità del trattamento ai precetti di tale regolamento (articoli 24, paragrafo 1, e 25, paragrafo 2, del RGPD).

84. Nell’ambito specifico della direttiva (UE) 2016/680 (30), portata dalla Commissione a esempio (31) di un particolare regime di protezione dei dati nel settore dei reati:

– l’articolo 24 della suddetta direttiva obbliga i titolari del trattamento a tenere un registro di tutte le categorie di attività di trattamento sotto la propria responsabilità (paragrafo 1); e impone a tutti i responsabili del trattamento di tenere un registro di tutte le categorie di attività di trattamento svolte per conto di un titolare del trattamento (paragrafo 2);

– l’articolo 25 della stessa esige che «(…) siano registrati in sistemi di trattamento automatizzato almeno i seguenti trattamenti: raccolta, modifica, consultazione, comunicazione, inclusi i trasferimenti, interconnessione e cancellazione. Le registrazioni delle consultazioni e delle comunicazioni consentono di stabilire la motivazione, la data e l’ora di tali operazioni e, nella misura del possibile, di identificare la persona che ha consultato o comunicato i dati personali, nonché di stabilire l’identità dei destinatari di tali dati personali» (32).

85. Tuttavia, ai sensi dell’articolo 14 della direttiva 2016/680, le informazioni relative, in particolare, all’identità dell’impiegato che ha trattato i dati personali non figurano tra quelle alle quali l’interessato ha diritto di accesso.

86. Allo stesso modo, l’articolo 30 del RGPD prescrive la tenuta di ciò che definisce «registri delle attività di trattamento», il cui contenuto corrisponde – con un minor grado di specificità quanto alla definizione delle operazioni – a quello dell’articolo 25 della direttiva 2016/680 (33). E, al pari di quest’ultima, le informazioni registrate sull’identità dell’impiegato non figurano tra quelle accessibili all’interessato ai sensi dell’articolo 15 del RGPD.

87. La ragione di detta asimmetria tra le informazioni registrate, da un lato, e il diritto di accesso alle stesse, dall’altro, risiede nella differenza fra le finalità perseguite dalle disposizioni che disciplinano, rispettivamente, i registri delle attività di trattamento e l’accessibilità del loro contenuto.

88. Attraverso i registri di cui all’articolo 30 del RGPD, si intende, lo ripeto, assicurare la liceità del trattamento e garantire l’integrità e la sicurezza dei dati. La responsabilità su quanto precede spetta, di norma, all’autorità di controllo, alla quale il titolare e il responsabile del trattamento mettono le registrazioni a disposizione (articolo 30, paragrafo 4, del RGPD).

89. Nel RGPD, il diritto di proporre reclamo alle autorità di controllo [articolo 15, paragrafo 1, lettera f)], alle quali incombe di vigilare sulla sua corretta applicazione, mira a tutelare i diritti delle persone fisiche con riguardo al trattamento dei loro dati. Ciò è sancito dall’articolo 51, paragrafo 1, del RGPD e deriva dall’elenco dei compiti conferiti loro dall’articolo 57 del regolamento stesso.

90. Il compito generale di vigilare sull’applicazione del RGPD e di tutelare i diritti delle persone fisiche, giustifica le prerogative dell’autorità di controllo, tra le quali quella di accertare le circostanze in cui i sono stati effettuati i trattamenti dei dati da parte di un responsabile o di un titolare. Una di dette circostanze è proprio quella che in questo contesto ha rilevanza: l’identità delle persone che consultano i dati personali dei clienti per conto del titolare o del responsabile.

91. Tuttavia, in nessun luogo il RGPD richiede che dette indicazioni relative all’identità degli impiegati che figurano nei registri interni degli enti, mediante i quali detti enti possono sapere (e, se del caso, mettere a disposizione dell’autorità di controllo) chi ha esaminato, e quando, i dati personali di un cliente, debbano essere accessibili a quest’ultimo.

92. Per contro, alla persona interessata da un determinato trattamento saranno fornite le informazioni necessarie per conoscere le circostanze pertinenti, al fine di valutare la liceità del trattamento e di contestarla, se del caso, dinanzi all’autorità di controllo o, in un’ultima istanza, dinanzi all’autorità giudiziaria.

93. Ciò non toglie che se detti registri contenessero effettivamente dati personali dell’interessato (vale a dire, dati diversi dalla mera identità degli impiegati), quest’ultimo avrà logicamente il diritto di ottenere dal titolare del trattamento la conferma che è in corso un trattamento di dati personali che lo riguardano. A tal riguardo, è indifferente che questi ultimi siano contenuti in un registro o in qualsiasi altro archivio o banca dati interna dell’ente.

C. Sulla terza questione pregiudiziale

94. Il giudice del rinvio vuole sapere se «rilevi ai fini del procedimento il fatto che si tratta di una banca che esercita un’attività regolamentata o che J.M. fosse nel contempo dipendente e cliente della stessa».

95. A mio avviso, quanto detto finora resta fermo anche se il titolare del trattamento dei dati esercita un’attività regolamentata. Il fatto che detto titolare del trattamento sia una banca soggetta alla regolamentazione specifica propria di questo genere di enti (34) può tuttavia incidere al fine di stabilire la legittimità (base giuridica) del trattamento, qualora quest’ultimo derivi dall’adempimento degli obblighi giuridici cui l’ente è soggetto (35).

96. In linea di principio, è altresì irrilevante che la persona i cui dati sono stati consultati fosse un dipendente e, al contempo, un cliente di quella banca. L’articolo 15, paragrafo 1, del RGPD non opera alcuna distinzione in funzione dell’attività professionale dell’interessato, sovrapposta alla sua condizione di cliente dell’istituto di credito (36).

97. Certamente, come rilevato dalla Commissione, l’articolo 23 del RGPD consente agli Stati membri di limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui, tra gli altri, al suo articolo 15, mediante disposizioni settoriali per una categoria specifica di persone interessate. Tuttavia, il giudice del rinvio non indica alcuna limitazione nazionale di tal genere.

V. Conclusione

98. Alla luce di quanto precede, suggerisco alla Corte di rispondere all’Itä-Suomen hallinto-oikeus (Tribunale amministrativo della Finlandia orientale, Finlandia) nei seguenti termini:

«L’articolo 15, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), in combinato disposto con l’articolo 4, punto 1, di detto regolamento,

deve essere interpretato nel senso che esso:

si applica se la richiesta di accesso alle informazioni che l’interessato ha rivolto al titolare del trattamento dei suoi dati è stata presentata dopo il 25 maggio 2018;

non conferisce all’interessato il diritto di conoscere, tra le informazioni a disposizione del titolare del trattamento (se del caso, attraverso registri o archivi), l’identità dell’impiegato o degli impiegati che, sotto l’autorità e seguendo le istruzioni del titolare stesso, hanno consultato i suoi dati personali».

1 Lingua originale: lo spagnolo.

2 Regolamento del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; rettifica in GU 2021, L 74, pag. 35; in prosieguo: il «RGPD»).

3 Legge sulla protezione dei dati personali. Ai sensi dell’articolo 1, tale legge concretizza e integra il RGPD.

4 Legge sul rispetto della sfera privata nell’ambito della vita lavorativa.

5 La Pankki voleva chiarire l’eventuale sussistenza di un conflitto di interessi tra un cliente della banca, di cui J.M. era il gestore responsabile del conto, e quest’ultimo. La conclusione è stata alla fine che J.M. non era sospettato di condotte illecite.

6 Articolo 99, paragrafo 2, del RGPD.

7 Nello stesso senso, v. le conclusioni dell’Avvocato generale Pitruzzella nella causa Österreichische Post (Informazioni sui destinatari dei dati personali) (C‑154/21, EU:C:2022:452), paragrafo 33: «(…) il diritto di accesso di cui all’articolo 15, paragrafo 1, lettera c), del RGPD svolge un ruolo funzionale e strumentale rispetto all’esercizio di altre prerogative dell’interessato previste dal RGPD».

8 O, come nel caso di specie, a partire dal momento in cui la stessa norma diventa applicabile, se questo non coincide con quello dell’entrata in vigore.

9 Direttiva del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31).

10 L’orientamento della Corte sull’efficacia nel tempo delle modifiche legislative è riassunto nella sentenza del 15 giugno 2021, Facebook Ireland e a. (C‑645/19, EU:C:2021:483).

11 Con riferimento alla direttiva 95/46, la sentenza del 7 maggio 2009, Rijkeboer (C‑553/07, EU:C.2009:293), punto 70, ha affermato che «[l]’art. 12, lett. a), della direttiva impone agli Stati membri di prevedere il diritto di accesso alle informazioni (…) non solo per il presente, ma anche per il passato. Spetta agli Stati membri fissare il termine per la conservazione di tali informazioni nonché il corrispondente accesso alle stesse che costituiscano un giusto equilibrio tra, da una parte, l’interesse della persona di cui trattasi a tutelare la propria vita privata, in particolare, tramite i mezzi di intervento e le possibilità di agire in giudizio previste dalla direttiva, e, dall’altra, l’onere che l’obbligo di conservare tali informazioni comporta per il responsabile del trattamento». Il corsivo è mio.

12 Fermo restando che su questo punto, se del caso, si dovrebbe pronunciare il giudice del rinvio, in udienza sono stati addotti, quali motivi per giustificare il trattamento dei dati, da un lato, gli obblighi previsti dalla legge finlandese in base ai quali la Pankki, in quanto istituto di credito, deve garantire una corretta gestione dei rischi nonché l’osservanza delle norme sulla prevenzione e sulla lotta contro il riciclaggio per quanto riguarda la tracciabilità delle operazioni; dall’altro, i contratti della banca con i suoi clienti e impiegati, che autorizzerebbero la consultazione dei loro dati in circostanze come quelle del caso in questione.

13 V. paragrafo 21 delle presenti conclusioni.

14 Conformemente a detta disposizione, per dato personale s’intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile», vale a dire, «che può essere identificata, direttamente o indirettamente».

15 La sua identità non è stata precisata in conseguenza o per effetto del trattamento, poiché il trattamento è stato effettuato proprio previa identificazione di J.M.

16 Come osservato dalla Commissione, è possibile che J.M. ritenga che le informazioni fornite siano insufficienti o inesatte. In ogni caso, e conformemente all’articolo 15, paragrafo 1, del RGPD, J.M. ha il diritto di ottenere la conferma che ci sia stato o sia o meno in corso un trattamento di dati personali (il che comporta l’indicazione del momento) e delle relative finalità. Spetterebbe al giudice del rinvio stabilire se entrambe le informazioni siano state fornite in modo sufficiente.

17 V. la relativa trascrizione al paragrafo 9 delle presenti conclusioni.

18 Come affermato dalla Corte in relazione alla direttiva 95/46 e in termini che possono essere applicati al RGPD, i principi di tutela garantiti dal diritto dell’Unione in questo settore «si esprimono, da un lato, nei vari obblighi a carico dei soggetti responsabili del trattamento dei dati, obblighi relativi in particolare alla qualità dei dati, alla sicurezza tecnica, alla notificazione all’autorità di controllo, alle circostanze in cui il trattamento può essere effettuato, e, dall’altro, nel diritto delle persone, i cui dati sono oggetto di trattamento, di esserne informate, di poter accedere ai dati e di poterne chiedere la rettifica, o di opporsi al trattamento in talune circostanze» (sentenza del 20 dicembre 2017, Nowak, C‑434/16, EU:C:2017:994, punto 48).

19 Il corsivo è mio.

20 Diritto di chiedere la rettifica o la cancellazione dei dati o la limitazione o l’opposizione al trattamento; di proporre reclamo a un’autorità di controllo e di essere informato sull’origine dei dati qualora non siano raccolti presso l’interessato.

21 Punto 38 dell’ordinanza di rinvio.

22 Gli articoli 13, 14 e 15 del RGPD, che fanno parte del capo III («Diritti dell’interessato»), sezione 2 («Informazione e accesso ai dati personali»), costituiscono un sistema basato sul riconoscimento del diritto di conoscere: a) i dati personali detenuti dal titolare del trattamento, indipendentemente dalla modalità in cui sono stati ottenuti (articoli 13 e 14); e b), in particolare, le circostanze di ogni trattamento di detti dati (articolo 15).

23 Il corsivo è mio.

24 Ciò è altresì raccomandato dal comitato europeo per la protezione dei dati nelle sue linee guida 07/2020, adottate il 2 settembre 2020, sulle nozioni di titolare e responsabile nel RGPD, punti da 83 a 90.

25 In questa ipotesi, entrerebbe in gioco l’articolo 34, paragrafo 1, del RGPD.

26 La stessa opinione è condivisa dal comitato europeo per la protezione dei dati, negli orientamenti 07/2020, paragrafo 88: «Non rientra in suddetta categoria un lavoratore dipendente o un’altra figura professionale che acceda a dati ai quali non è autorizzato ad accedere e per finalità diverse da quelle del datore di lavoro. Un tale dipendente dovrebbe invece essere considerato terzo rispetto al trattamento effettuato dal datore di lavoro. Nella misura in cui il dipendente tratti dati personali per le proprie finalità, diverse da quelle del datore di lavoro, sarà considerato titolare del trattamento, risponderà di tutte le conseguenze e si assumerà tutte le responsabilità che ne derivano in termini di trattamento dei dati personali».

27 Lo stesso risultato si ottiene interpretando i riferimenti che gli articoli 13 e 14 del RGPD, nonché il suo considerando 61, fanno nel momento in cui le informazioni sul trattamento dei dati personali comunicate ai destinatari devono essere fornite agli interessati. Ne consegue che il destinatario è un ente o un soggetto esterno, terzo rispetto al titolare/responsabile.

28 In udienza, il governo finlandese ha dichiarato di aver agito in tal senso per quanto riguarda i dati relativi alla salute.

29 Le conseguenze del riconoscimento di un siffatto obbligo sono difficilmente prevedibili per l’attività quotidiana delle imprese, in particolare per quelle realtà che sono obbligate a trattare (ovviamente, tramite i loro impiegati) milioni di dati personali dei loro clienti.

30 Direttiva del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU 2016, L 119, pag. 89).

31 In udienza è stato precisato che il riferimento alla direttiva 2016/680 non implicava la sua applicabilità alla causa in esame, la quale è priva di qualsiasi connotazione penale.

32 Disposizioni riprodotte all’articolo 88 del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione, e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU 2018, L 297, pag. 39), con l’aggiunta, al suo paragrafo 3, che le registrazioni sono cancellate dopo tre anni, salvo se sono necessarie per un controllo in corso.

33 L’articolo 25, paragrafo 1, della direttiva 2016/680 si riferisce esplicitamente alla «persona che ha consultato o comunicato i dati personali». Più in generale, e senza fare riferimento ad ogni specifica attività di trattamento, bensì alle «categorie di attività relative al trattamento svolte per conto di un titolare del trattamento», l’articolo 30, paragrafo 2, lettera a), del RGPD menziona il «nome e i dati di contatto del responsabile», vale a dire, conformemente all’articolo 4, paragrafo 8, del RGPD, «la persona (…) che tratta dati personali per conto del titolare del trattamento».

34 Detta regolamentazione specifica può comportare, ad esempio, come recita il considerando 11 della direttiva 2016/680, che «(…) a fini di indagine, accertamento o perseguimento di reati, gli istituti finanziari conserv[i]no determinati dati personali da essi trattati, e li trasmett[a]no solo alle autorità nazionali competenti in casi specifici e conformemente al diritto dello Stato membro».

35 V. nota 12 delle presenti conclusioni.

36 Il giudice del rinvio non si interroga sull’eventuale violazione dei diritti che vanta J. M., in quanto lavoratore dipendente della Pankki.