Corte di giustizia dell'Unione Europea
Prima Sezione
Sentenza 20 ottobre 2022

«Rinvio pregiudiziale - Protezione delle persone fisiche con riguardo al trattamento dei dati personali - Regolamento (UE) 2016/679 - Articolo 5, paragrafo 1, lettere b) ed e) - Principio della "limitazione della finalità" - Principio della "limitazione della conservazione" - Creazione, a partire da una banca dati esistente, di una banca dati per effettuare test e correggere errori - Trattamento ulteriore dei dati - Compatibilità del trattamento ulteriore di tali dati con le finalità della raccolta iniziale - Durata della conservazione con riguardo a tali finalità».

Nella causa C-77/21, avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell'articolo 267 TFUE, dalla Fővárosi Törvényszék (Corte di Budapest-Capitale, Ungheria), con decisione del 21 gennaio 2021, pervenuta in cancelleria l'8 febbraio 2021, nel procedimento Digi Távközlési és Szolgáltató Kft. contro Nemzeti Adatvédelmi és Információszabadság Hatóság.

[...]

1. La domanda di pronuncia pregiudiziale verte sull'interpretazione dell'articolo 5, paragrafo 1, lettere b) ed e), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1, e rettifiche GU 2016, L 314, pag. 72, GU 2018, L 127, pag. 3 e GU 2021, L 74, pag. 35).

2. Tale domanda è stata presentata nell'ambito di una controversia tra la Digi Távközlési és Szolgáltató Kft. (in prosieguo: la «Digi»), uno dei principali fornitori di servizi Internet e di telediffusione in Ungheria, e la Nemzeti Adatvédelmi és Információszabadság Hatóság (Autorità nazionale per la protezione dei dati e della libertà d'informazione, Ungheria) (in prosieguo: l'«Autorità») in merito a una violazione dei dati personali contenuti in una banca dati della Digi.

Contesto normativo

3. I considerando 10 e 50 del regolamento 2016/679 così recitano:

«(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all'interno dell'Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un'applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l'Unione. (...)

(...)

(50) Il trattamento dei dati personali per finalità diverse da quelle per le quali i dati personali sono stati inizialmente raccolti dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti. In tal caso non è richiesta alcuna base giuridica separata oltre a quella che ha consentito la raccolta dei dati personali. (...) Per accertare se la finalità di un ulteriore trattamento sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento dovrebbe, dopo aver soddisfatto tutti i requisiti per la liceità del trattamento originario, tener conto tra l'altro di ogni nesso tra tali finalità e le finalità dell'ulteriore trattamento previsto, del contesto in cui i dati personali sono stati raccolti, in particolare le ragionevoli aspettative dell'interessato in base alla sua relazione con il titolare del trattamento con riguardo al loro ulteriore utilizzo; della natura dei dati personali; delle conseguenze dell'ulteriore trattamento previsto per gli interessati; e dell'esistenza di garanzie adeguate sia nel trattamento originario sia nell'ulteriore trattamento previsto.

(...)».

4. L'articolo 4 del regolamento 2016/679, intitolato «Definizioni», così dispone:

«Ai fini del presente regolamento s'intende per:

(...)

2) "trattamento": qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

(...)».

5. Ai sensi dell'articolo 5 di tale regolamento, rubricato «Principi applicabili al trattamento di dati personali»:

«1. I dati personali sono:

a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato ("liceità, correttezza e trasparenza");

b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all'articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali ("limitazione della finalità");

c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati ("minimizzazione dei dati");

d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati ("esattezza");

e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato ("limitazione della conservazione");

f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali ("integrità e riservatezza").

2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo ("responsabilizzazione")».

6. L'articolo 6 del suddetto regolamento, rubricato «Liceità del trattamento», prevede quanto segue:

«1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;

e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.

(...)

4. Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell'interessato o su un atto legislativo dell'Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all'articolo 23, paragrafo 1, al fine di verificare se il trattamento per un'altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l'altro:

a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell'ulteriore trattamento previsto;

b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l'interessato e il titolare del trattamento;

c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell'articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell'articolo 10;

d) delle possibili conseguenze dell'ulteriore trattamento previsto per gli interessati;

e) dell'esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione».

Procedimento principale e questioni pregiudiziali

7. La Digi è uno dei principali fornitori di servizi Internet e di telediffusione in Ungheria.

8. Nel mese di aprile 2018, a seguito di un guasto tecnico che aveva interessato il funzionamento di un server, la Digi ha creato una banca dati detta «di test» (in prosieguo: la «banca dati di test»), nella quale ha copiato i dati personali di circa un terzo dei suoi clienti privati, i quali erano conservati in un'altra banca dati, denominata «digihu», che poteva essere collegata al sito www.digi.hu, contenente i dati aggiornati delle persone che si erano iscritte per ricevere la newsletter della Digi, a fini di marketing diretto, nonché i dati dell'amministratore di sistema che davano accesso all'interfaccia del sito.

9. Il 23 settembre 2019 la Digi è venuta a conoscenza del fatto che un «hacker etico» aveva avuto accesso ai dati personali detenuti da quest'ultima riguardanti circa 322 000 persone. Tale accesso è stato segnalato alla Digi da questo stesso «hacker etico», che le ha comunicato, come prova, una linea della banca dati di test. La Digi ha corretto l'errore che aveva permesso tale accesso e ha concluso un accordo di riservatezza con tale persona, alla quale ha offerto un compenso.

10. Dopo avere eliminato la banca dati di test, il 25 settembre 2019 la Digi ha notificato la violazione dei dati personali all'Autorità, che ha successivamente avviato un'indagine.

11. Con decisione del 18 maggio 2020 l'Autorità ha segnatamente concluso che la Digi aveva violato l'articolo 5, paragrafo 1, lettere b) ed e), del regolamento 2016/679, in quanto, dopo aver effettuato i test necessari e corretto l'errore, essa non aveva immediatamente soppresso la banca dati di test, cosicché un gran numero di dati personali era stato conservato in tale banca dati senza alcuna finalità per quasi 18 mesi, in un archivio idoneo a consentire l'identificazione degli interessati. Di conseguenza, l'Autorità ha imposto alla Digi di esaminare tutte le sue banche dati e le ha inflitto un'ammenda di importo pari a 100 000 000 fiorini ungheresi (HUF) (circa EUR 248 000).

12. La Digi ha contestato la legittimità di tale decisione dinanzi al giudice del rinvio.

13. Quest'ultimo rileva che i dati personali copiati dalla Digi nella banca dati di test sono stati raccolti ai fini della conclusione e dell'esecuzione di contratti di abbonamento e che la liceità della raccolta dei dati non è stata messa in discussione dall'Autorità. Esso si chiede tuttavia se la copia, in un'altra banca dati, dei dati inizialmente raccolti abbia avuto la conseguenza di modificare la finalità della raccolta iniziale e del trattamento dei dati. Esso aggiunge di dover altresì stabilire se la creazione di una banca dati di test e il proseguimento, in quest'altra banca dati, del trattamento dei dati dei clienti siano compatibili con le finalità della raccolta iniziale. Esso ritiene che il principio della «limitazione della finalità», quale enunciato all'articolo 5, paragrafo 1, lettera b), del regolamento n. 2016/679, non gli consenta di determinare i sistemi interni nei quali il titolare del trattamento ha il diritto di trattare i dati raccolti in modo lecito né di sapere se quest'ultimo possa copiare tali dati in una banca dati di test senza modificare la finalità della raccolta iniziale di dati.

14. Nell'ipotesi in cui la creazione della banca dati di test fosse incompatibile con la finalità della raccolta iniziale, il giudice del rinvio si chiede altresì se, dal momento che la finalità del trattamento dei dati degli abbonati in un'altra banca dati non è la correzione di errori ma la conclusione di contratti, la durata della conservazione necessaria, in forza del principio della «limitazione della conservazione» di cui all'articolo 5, paragrafo 1, lettera e), del regolamento 2016/679, debba corrispondere alla durata necessaria alla correzione degli errori o a quella necessaria all'esecuzione degli obblighi contrattuali.

15. In tali circostanze, la Fővárosi Törvényszék (Corte di Budapest-Capitale, Ungheria) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1) Se la nozione di "limitazione della finalità" di cui all'articolo 5, paragrafo 1, lettera b), del regolamento 2016/679 (...) debba essere interpretata nel senso che è conforme con tale nozione il fatto che il titolare del trattamento conservi parallelamente, in un'altra banca dati, alcuni dati personali che sono stati peraltro raccolti e conservati per una finalità legittima limitata o, al contrario, per quanto riguarda la banca dati parallela, nel senso che la finalità legittima limitata della raccolta dei dati non è più valida.

2) Qualora la risposta alla prima questione pregiudiziale sia che la conservazione parallela dei dati risulta di per sé incompatibile con il principio della "limitazione della finalità", se sia compatibile con il principio della "limitazione della conservazione" di cui all'articolo 5, paragrafo 1, lettera e), del 2016/ 679 il fatto che il titolare del trattamento conservi parallelamente in un'altra banca dati alcuni dati personali che sono stati peraltro raccolti e conservati per una finalità legittima limitata».

Sulle questioni pregiudiziali

Sulla ricevibilità

16. L'Autorità e il governo ungherese hanno espresso dubbi sulla ricevibilità delle questioni pregiudiziali, sulla base del rilievo che tali questioni non corrisponderebbero ai fatti della controversia principale e non sarebbero direttamente rilevanti per la sua soluzione.

17. A tale proposito, in primo luogo occorre ricordare che da una costante giurisprudenza della Corte risulta che spetta esclusivamente al giudice nazionale, cui è stata sottoposta la controversia e che deve assumersi la responsabilità dell'emananda decisione giurisdizionale, valutare, alla luce delle particolari circostanze di ciascuna causa, tanto la necessità di una pronuncia pregiudiziale per essere in grado di pronunciare la propria sentenza, quanto la rilevanza delle questioni che sottopone alla Corte. Di conseguenza, se le questioni sollevate vertono sull'interpretazione o sulla validità di una norma giuridica dell'Unione, la Corte, in linea di principio, è tenuta a statuire. Ne consegue che le questioni sollevate dai giudici nazionali godono di una presunzione di rilevanza. Il rifiuto della Corte di pronunciarsi su una questione pregiudiziale sollevata da un giudice nazionale è possibile solo qualora risulti che l'interpretazione richiesta non ha alcuna relazione con la realtà o con l'oggetto del procedimento principale, qualora il problema sia di natura ipotetica o, ancora, quando la Corte non disponga degli elementi di fatto o di diritto necessari per fornire una risposta utile a tali questioni (sentenza del 16 luglio 2020, Facebook Ireland e Schrems, C-311/18, EU:C:2020:559, punto 73 e giurisprudenza citata).

18. Nel caso di specie, il giudice del rinvio è chiamato a pronunciarsi su un ricorso diretto all'annullamento di una decisione che sanziona la Digi, nella sua qualità di titolare del trattamento, per avere violato il principio della «limitazione della finalità» e il principio della «limitazione della conservazione», previsti, rispettivamente, alle lettere b) ed e) dell'articolo 5, paragrafo 1, del regolamento 2016/679, avendo omesso di eliminare una banca dati contenente dati personali che consentono l'identificazione degli interessati. Orbene, le questioni pregiudiziali vertono proprio sull'interpretazione di tali disposizioni, cosicché non si può ritenere che l'interpretazione del diritto dell'Unione richiesta non abbia alcun rapporto con la realtà o con l'oggetto del procedimento principale o che sia di natura ipotetica. Inoltre, la decisione di rinvio contiene gli elementi di fatto e di diritto sufficienti per rispondere in modo utile alle questioni poste dal giudice del rinvio.

19. In secondo luogo occorre ricordare che, nel contesto del procedimento previsto dall'articolo 267 TFUE, fondato su una netta separazione delle funzioni tra i giudici nazionali e la Corte, il giudice nazionale è il solo competente a interpretare e applicare disposizioni di diritto nazionale, mentre la Corte può pronunciarsi unicamente sull'interpretazione o la validità di un testo dell'Unione, sulla base dei fatti che le vengono indicati dal giudice nazionale (sentenza del 5 maggio 2022, Zagrebačka banka, C-567/20, EU:C:2022:352, punto 45 e giurisprudenza citata).

20. Pertanto, occorre respingere l'argomento relativo all'irricevibilità delle questioni pregiudiziali che l'Autorità e il governo ungherese traggono, in sostanza, dal fatto che le questioni pregiudiziali non corrisponderebbero, a loro avviso, ai fatti della controversia principale.

21. Ne consegue che le questioni pregiudiziali sono ricevibili.

Nel merito

Sulla prima questione

22. Con la sua prima questione, il giudice del rinvio chiede, in sostanza, se l'articolo 5, paragrafo 1, lettera b), del regolamento 2016/679 debba essere interpretato nel senso che il principio della «limitazione della finalità», previsto da tale disposizione, osta alla registrazione e alla conservazione da parte del titolare del trattamento, in una banca dati creata al fine di effettuare test e di correggere errori, di dati personali precedentemente raccolti e conservati in un'altra banca dati.

23. Secondo una giurisprudenza costante, l'interpretazione di una disposizione del diritto dell'Unione richiede di tenere conto non soltanto della sua formulazione, ma anche del contesto in cui essa si inserisce nonché degli obiettivi e delle finalità che l'atto di cui essa fa parte persegue (sentenza del 1° agosto 2022, HOLD Alapkezelő, C-352/20, EU:C:2022:606, punto 42 e giurisprudenza citata).

24. A tale riguardo, in primo luogo occorre rilevare che l'articolo 5, paragrafo 1, del regolamento 2016/679 stabilisce i principi relativi al trattamento dei dati personali, che si impongono al titolare del trattamento e di cui quest'ultimo deve essere in grado di dimostrare il rispetto, conformemente al principio di responsabilità enunciato al paragrafo 2 di tale articolo.

25. In particolare, ai sensi dell'articolo 5, paragrafo 1, lettera b), di tale regolamento, che enuncia il principio della «limitazione della finalità», i dati personali devono, da un lato, essere raccolti per finalità determinate, esplicite e legittime e, dall'altro, essere successivamente trattati in modo che non sia incompatibile con tali finalità.

26. Dalla formulazione di tale disposizione risulta quindi che essa contiene due requisiti, uno relativo alle finalità della raccolta iniziale dei dati personali e l'altro riguardante l'ulteriore trattamento di tali dati.

27. Per quanto riguarda, in primo luogo, il requisito secondo cui i dati personali devono essere raccolti per finalità determinate, esplicite e legittime, dalla giurisprudenza della Corte risulta che tale requisito implica, in primo luogo, che le finalità del trattamento devono essere individuate al più tardi al momento della raccolta dei dati personali, in secondo luogo, che le finalità di tale trattamento siano chiaramente indicate e, infine, che le finalità di detto trattamento garantiscano, tra l'altro, la liceità del trattamento di tali dati, ai sensi dell'articolo 6, paragrafo 1, del regolamento 2016/679 [v., in tal senso, sentenza del 24 febbraio 2022, Valsts ieņēmumu dienests (Trattamento di dati personali a fini fiscali), C-175/20, EU:C:2022:124, punti da 64 a 66].

28. Nel caso di specie, dalla formulazione della prima questione e dalla motivazione della decisione di rinvio risulta che i dati personali di cui trattasi nel procedimento principale sono stati raccolti per finalità determinate, esplicite e legittime; il giudice del rinvio precisa peraltro che la raccolta di tali dati è stata effettuata ai fini della conclusione e dell'esecuzione da parte della Digi di contratti di abbonamento con i suoi clienti, conformemente all'articolo 6, paragrafo 1, lettera b), del regolamento 2016/679.

29. Per quanto riguarda, in secondo luogo, il requisito secondo cui i dati personali non devono essere oggetto di un ulteriore trattamento che sia incompatibile con tali finalità, occorre rilevare, da un lato, che la registrazione e la conservazione, da parte del titolare del trattamento, in una banca dati di nuova creazione, di dati personali conservati in un'altra banca dati costituisce un «ulteriore trattamento» di tali dati.

30. Infatti, la nozione di «trattamento» è definita in maniera ampia all'articolo 4, punto 2, del regolamento 2016/679 come riferita a qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come, in particolare, la raccolta, la registrazione e la conservazione di tali dati.

31. Inoltre, conformemente al significato abituale del termine «ulteriore» nel linguaggio corrente, qualsiasi trattamento di dati personali successivo al trattamento iniziale costituito dalla raccolta iniziale di tali dati costituisce un trattamento «ulteriore» dei suddetti dati, indipendentemente dalla finalità di tale ulteriore trattamento.

32. Dall'altro lato, occorre rilevare che l'articolo 5, paragrafo 1, lettera b), del regolamento 2016/679 non contiene indicazioni sulle condizioni alle quali un ulteriore trattamento di dati personali può essere considerato compatibile con le finalità della raccolta iniziale di tali dati.

33. Il contesto in cui si inserisce tale disposizione fornisce tuttavia, in secondo luogo, precisazioni utili a tale riguardo.

34. Risulta infatti dal combinato disposto dell'articolo 5, paragrafo 1, lettera b), dell'articolo 6, paragrafo 1, lettera a), e dell'articolo 6, paragrafo 4, del regolamento 2016/679 che la questione della compatibilità dell'ulteriore trattamento dei dati personali con le finalità per le quali tali dati sono stati inizialmente raccolti si pone solo nell'ipotesi in cui le finalità di detto ulteriore trattamento non siano identiche alle finalità della raccolta iniziale.

35. Inoltre, dall'articolo 6, paragrafo 4, letto alla luce del considerando 50 di detto regolamento, risulta che, laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell'interessato o su un atto legislativo dell'Unione o degli Stati membri, al fine di verificare se il trattamento per un'altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, si deve tener conto, tra l'altro, in primo luogo, dell'eventuale esistenza di un nesso tra le finalità per le quali i dati personali sono stati raccolti e le finalità dell'ulteriore trattamento previsto; in secondo luogo, del contesto in cui i dati personali sono stati raccolti, in particolare per quanto riguarda la relazione tra gli interessati e il titolare del trattamento; in terzo luogo, della natura dei dati personali; in quarto luogo, delle possibili conseguenze dell'ulteriore trattamento previsto per gli interessati e, infine, in quinto luogo, dell'esistenza di garanzie adeguate sia nel trattamento originario sia nell'ulteriore trattamento previsto.

36. Come rilevato, in sostanza, dall'avvocato generale ai paragrafi 28, 59 e 60 delle sue conclusioni, tali criteri riflettono la necessità di un nesso concreto, logico e sufficientemente stretto tra le finalità della raccolta iniziale dei dati personali e l'ulteriore trattamento di tali dati, e consentono di assicurarsi che tale ulteriore trattamento non si discosti dalle legittime aspettative degli abbonati quanto all'ulteriore utilizzo dei loro dati.

37. Tali criteri consentono, del resto, in terzo luogo, come l'avvocato generale ha sottolineato, in sostanza, al paragrafo 27 delle sue conclusioni, di inquadrare il riutilizzo di dati personali precedentemente raccolti garantendo un equilibrio tra, da un lato, la necessità di prevedibilità e di certezza del diritto riguardo alle finalità del trattamento di dati personali in precedenza raccolti e, dall'altro, il riconoscimento di una certa flessibilità a favore del titolare del trattamento nella gestione di tali dati, e contribuiscono così alla realizzazione dell'obiettivo consistente nell'assicurare un livello coerente ed elevato di protezione delle persone fisiche, enunciato al considerando 10 del regolamento 2016/679.

38. Pertanto, tenendo conto dei criteri menzionati al punto 35 della presente sentenza e alla luce di tutte le circostanze che caratterizzano il caso di specie, spetta al giudice nazionale determinare tanto le finalità della raccolta iniziale dei dati personali quanto quelle dell'ulteriore trattamento di tali dati e, nell'ipotesi in cui le finalità di tale ulteriore trattamento differiscano dalle finalità di tale raccolta, verificare che l'ulteriore trattamento di detti dati sia compatibile con le finalità di detta raccolta iniziale.

39. Ciò premesso, la Corte può, statuendo su un rinvio pregiudiziale, fornire delle precisazioni intese a guidare il giudice nazionale in tale determinazione (v., in tal senso, sentenza del 7 aprile 2022, Fuhrmann-2, C-249/21, EU:C:2022:269, punto 32).

40. Nel caso di specie, in primo luogo, come è stato ricordato al punto 13 della presente sentenza, dalla decisione di rinvio risulta che i dati personali sono stati raccolti inizialmente dalla Digi, titolare del trattamento, ai fini della conclusione e dell'esecuzione di contratti di abbonamento con i suoi clienti privati.

41. In secondo luogo, le parti nel procedimento principale non concordano sulla finalità specifica della registrazione e della conservazione, da parte della Digi, nella banca dati di test, dei dati personali di cui trattasi. Infatti, mentre la Digi sostiene che la creazione della banca dati di test aveva la finalità specifica di garantire l'accesso ai dati degli abbonati fino alla correzione degli errori, di modo che tale finalità sarebbe identica alle finalità perseguite dalla raccolta iniziale di tali dati, l'Autorità sostiene che la finalità specifica dell'ulteriore trattamento era distinta da tali finalità, poiché consisteva nella realizzazione di test e nella correzione di errori.

42. A tale proposito, occorre ricordare che dalla giurisprudenza citata al punto 19 della presente sentenza risulta che, nell'ambito del procedimento di cui all'articolo 267 TFUE, basato sulla netta separazione delle funzioni tra i giudici nazionali e la Corte, il giudice nazionale è l'unico competente ad interpretare ed applicare disposizioni di diritto nazionale, mentre la Corte può pronunciarsi unicamente sull'interpretazione o sulla validità di un testo dell'Unione, sulla base dei fatti che le vengono indicati dal giudice nazionale.

43. Orbene, dalla decisione di rinvio risulta che la banca dati di test è stata creata dalla Digi per poter procedere a test e correggere errori, cosicché è con riguardo a tali finalità che il giudice del rinvio è tenuto a valutare la compatibilità dell'ulteriore trattamento con le finalità della raccolta iniziale, consistenti nella conclusione e nell'esecuzione di contratti di abbonamento.

44. In terzo luogo, per quanto riguarda tale valutazione, occorre rilevare che la realizzazione di test e la correzione di errori riguardanti la banca dati degli abbonati presentano un nesso concreto con l'esecuzione dei contratti di abbonamento dei clienti privati, in quanto siffatti errori possono essere dannosi per la fornitura del servizio contrattualmente previsto, e per la quale i dati sono stati inizialmente raccolti. Infatti, come rilevato dall'avvocato generale al paragrafo 60 delle sue conclusioni, un siffatto trattamento non si discosta dalle legittime aspettative di tali clienti quanto all'ulteriore utilizzo dei loro dati personali. Del resto, dalla decisione di rinvio non risulta che tali dati fossero in tutto o in parte sensibili, o che il loro ulteriore trattamento, in quanto tale, avrebbe avuto conseguenze dannose per gli abbonati o non sarebbe stato accompagnato da garanzie adeguate, circostanza che, in ogni caso, spetta al giudice del rinvio verificare.

45. Da tutte le considerazioni che precedono risulta che occorre rispondere alla prima questione dichiarando che l'articolo 5, paragrafo 1, lettera b), del regolamento 2016/679 dev'essere interpretato nel senso che il principio della «limitazione della finalità», previsto da tale disposizione, non osta alla registrazione e alla conservazione da parte del titolare del trattamento, in una banca dati creata al fine di effettuare test e di correggere errori, di dati personali precedentemente raccolti e conservati in un'altra banca dati, qualora un siffatto ulteriore trattamento sia compatibile con le specifiche finalità per le quali i dati personali sono stati inizialmente raccolti, circostanza che dev'essere determinata alla luce dei criteri di cui all'articolo 6, paragrafo 4, di tale regolamento.

Sulla seconda questione

46. In via preliminare, occorre rilevare che la seconda questione del giudice del rinvio, vertente sulla conformità con il principio della «limitazione della conservazione», di cui all'articolo 5, paragrafo 1, lettera e), del regolamento 2016/679, della conservazione da parte della Digi, nella banca dati di test, di dati personali dei suoi clienti, è posta da tale giudice solo in caso di risposta affermativa alla prima questione come riformulata, ossia nell'ipotesi in cui tale conservazione non sia compatibile con il principio della «limitazione della finalità», previsto all'articolo 5, paragrafo 1, lettera b), di tale regolamento.

47. Tuttavia, da un lato, come rilevato dall'avvocato generale al paragrafo 24 delle sue conclusioni, i principi relativi al trattamento dei dati personali enunciati all'articolo 5 del regolamento n. 2016/679 sono applicabili cumulativamente. Pertanto, la conservazione dei dati personali deve rispettare non soltanto il principio della «limitazione della finalità», ma anche quello della «limitazione della conservazione».

48. Dall'altro lato, occorre ricordare che, come risulta dal considerando 10 del regolamento 2016/679, quest'ultimo mira in particolare ad assicurare un livello elevato di protezione delle persone fisiche all'interno dell'Unione e, a tal fine, ad assicurare un'applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali di tali persone con riguardo al trattamento dei dati personali in tutta l'Unione.

49. A tal fine, i capi II e III di tale regolamento enunciano, rispettivamente, i principi che disciplinano il trattamento dei dati personali e i diritti dell'interessato che devono essere rispettati in qualsiasi trattamento di dati personali. In particolare, ogni trattamento di dati personali deve, da un lato, essere conforme ai principi relativi al trattamento dei dati fissati dall'articolo 5 del suddetto regolamento e, dall'altro, alla luce in particolare del principio della liceità del trattamento, previsto al paragrafo 1, lettera a), di tale articolo, rispondere a una delle condizioni di liceità del trattamento elencate all'articolo 6 del medesimo regolamento [v., in tal senso, sentenze del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C-439/19, EU:C:2021:504, punto 96, e del 24 febbraio 2022, Valsts ieņēmumu dienests (Trattamento di dati personali a fini fiscali), C-175/20, EU:C:2022:124, punto 50].

50. Alla luce di tali considerazioni, anche se, sul piano formale, il giudice del rinvio ha posto la seconda questione solo in caso di risposta affermativa alla prima questione come riformulata, tale circostanza non osta a che la Corte gli fornisca tutti gli elementi interpretativi del diritto dell'Unione che possano essere utili per definire la controversia di cui è investito (v., in tal senso, sentenza del 17 marzo 2022, Daimler, C-232/20, EU:C:2022:196, punto 49) e, pertanto, risponde a tale seconda questione.

51. In tali circostanze, occorre considerare che, con tale questione, il giudice del rinvio chiede, in sostanza, se l'articolo 5, paragrafo 1, lettera e), del regolamento 2016/679 debba essere interpretato nel senso che il principio della «limitazione della conservazione», previsto da tale disposizione, osta alla conservazione, da parte del titolare del trattamento, in una banca dati creata al fine di effettuare test e di correggere errori, di dati personali precedentemente raccolti per altre finalità, per un arco di tempo superiore a quello necessario alla realizzazione di tali test e alla correzione di tali errori.

52. In primo luogo, occorre rilevare che, ai sensi dell'articolo 5, paragrafo 1, lettera e), del regolamento 2016/679, i dati personali devono essere conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

53. Risulta quindi inequivocabilmente dal tenore letterale di tale articolo che il principio della «limitazione della conservazione» richiede che il titolare del trattamento sia in grado di dimostrare, conformemente al principio di responsabilità ricordato al punto 24 della presente sentenza, che i dati personali sono conservati unicamente per il periodo necessario al conseguimento delle finalità per le quali i dati sono stati raccolti o per le quali sono stati ulteriormente trattati.

54. Ne consegue che anche un trattamento inizialmente lecito di dati può divenire, con il tempo, incompatibile con il regolamento 2016/679 qualora tali dati non siano più necessari al conseguimento di tali finalità [sentenza del 24 settembre 2019, GC e a. (Deindicizzazione di dati sensibili), C-136/17, EU:C:2019:773, punto 74] e che i dati devono essere distrutti allorché tali finalità sono state realizzate (v., in tal senso, sentenza del 7 maggio 2009, Rijkeboer, C-553/07, EU:C:2009:293, punto 33).

55. Tale interpretazione è conforme, in secondo luogo, al contesto nel quale si inserisce l'articolo 5, paragrafo 1, lettera e), del regolamento 2016/679.

56. A tale proposito è stato ricordato al punto 49 della presente sentenza che qualsiasi trattamento di dati personali dev'essere conforme ai principi relativi al trattamento dei dati enunciati all'articolo 5 di detto regolamento e rispondere ad una delle condizioni relative alla liceità del trattamento elencate all'articolo 6 del medesimo regolamento.

57. Orbene, da un lato, come risulta da tale articolo 6, qualora l'interessato non abbia espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità, conformemente all'articolo 6, paragrafo 1, lettera a), del regolamento 2016/679, il trattamento deve soddisfare un requisito di necessità, come risulta dalle lettere da b) a f) di detto paragrafo.

58. Dall'altro lato, un siffatto requisito di necessità risulta altresì dal principio della «minimizzazione dei dati», previsto all'articolo 5, paragrafo 1, lettera c), di tale regolamento, ai sensi del quale i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

59. Una siffatta interpretazione è, in terzo luogo, conforme all'obiettivo perseguito dall'articolo 5, paragrafo 1, lettera e), del regolamento 2016/679, il quale, come ricordato al punto 48 della presente sentenza, consiste in particolare nell'assicurare un livello elevato di protezione delle persone fisiche all'interno dell'Unione con riguardo al trattamento dei dati personali.

60. Nel caso di specie, la Digi ha sostenuto che i dati personali di una parte dei suoi clienti privati conservati nella banca dati di test non sono stati cancellati inavvertitamente, dopo la realizzazione dei test e la correzione degli errori.

61. A tale riguardo, è sufficiente rilevare che tale argomento è privo di pertinenza al fine di valutare se i dati siano stati conservati per un arco di tempo superiore a quello necessario al conseguimento delle finalità per le quali essi sono stati ulteriormente trattati, in violazione del principio della «limitazione della conservazione», previsto all'articolo 5, paragrafo 1, lettera e), del regolamento 2016/679.

62. Da tutte le considerazioni che precedono, occorre rispondere alla seconda questione dichiarando che l'articolo 5, paragrafo 1, lettera e), del regolamento 2016/679 dev'essere interpretato nel senso che il principio della «limitazione della conservazione», previsto da tale disposizione, osta alla conservazione, da parte del titolare del trattamento, in una banca dati creata al fine di effettuare test e di correggere errori, di dati personali precedentemente raccolti per altre finalità, per un arco di tempo superiore a quello necessario alla realizzazione di tali test e alla correzione di tali errori.

Sulle spese

63. Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

P.Q.M.
la Corte (Prima Sezione) dichiara:

1) L'articolo 5, paragrafo 1, lettera b), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), dev'essere interpretato nel senso che il principio della «limitazione della finalità», previsto da tale disposizione, non osta alla registrazione e alla conservazione da parte del titolare del trattamento, in una banca dati creata al fine di effettuare test e di correggere errori, di dati personali precedentemente raccolti e conservati in un'altra banca dati, qualora un siffatto ulteriore trattamento sia compatibile con le specifiche finalità per le quali i dati personali sono stati inizialmente raccolti, circostanza che dev'essere determinata alla luce dei criteri di cui all'articolo 6, paragrafo 4, di tale regolamento.

2) L'articolo 5, paragrafo 1, lettera e), del regolamento 2016/679 dev'essere interpretato nel senso che il principio della «limitazione della conservazione», previsto da tale disposizione, osta alla conservazione da parte del titolare del trattamento, in una banca dati creata al fine di effettuare test e di correggere errori, di dati personali precedentemente raccolti per altre finalità, per un arco di tempo superiore a quello necessario alla realizzazione di tali test e alla correzione di tali errori.

L. Di Muro, G. Correale (curr.)

Codice dell'immigrazione

La Tribuna, 2024

A. Contrino e al. (curr.)

La giustizia tributaria

Giuffrè, 2024

L. Di Paola (cur.)

Il licenziamento

Giuffrè, 2024