In data 4 maggio 2023, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-60/22, UZ contro Bundesrepublik Deutschland, sull’interpretazione dell’articolo 5, dell’articolo 17, paragrafo 1, lettera d), dell’articolo 18, paragrafo 1, lettera b), nonché degli articoli 26 e 30 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di una controversia tra UZ, cittadino di uno Stato terzo, e la Bundesrepublik Deutschland (Repubblica federale di Germania), rappresentata dal Bundesamt für Migration und Flüchtlinge (Ufficio federale per la migrazione e i rifugiati), in merito all’esame della domanda di protezione internazionale presentata da tale persona.

Questi i fatti.

In data 7 maggio 2019, UZ aveva presentato una domanda di protezione internazionale all’Ufficio federale, il quale l’aveva respinta basandosi sul fascicolo elettronico “MARIS” da esso compilato, che conteneva i dati personali relativi al ricorrente. Di conseguenza, quest’ultimo aveva proposto ricorso dinanzi al Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia tre questioni pregiudiziali.

Con la prima questione, il giudice del rinvio chiedeva se l’articolo 17, paragrafo 1, lettera d)[2], e l’articolo 18, paragrafo 1, lettera b)[3], del GDPR debbano essere interpretati nel senso che la violazione, da parte del titolare del trattamento, degli obblighi previsti agli articoli 26[4] e 30[5] di tale regolamento, relativi, rispettivamente, alla conclusione di un accordo che determina la contitolarità del trattamento e alla tenuta di un registro delle relative attività costituisce un trattamento illecito che conferisce all’interessato il diritto alla cancellazione o alla limitazione del trattamento, poiché una siffatta violazione implica una violazione da parte del titolare del trattamento del principio di “responsabilizzazione” quale sancito dall’articolo 5, paragrafo 2[6], di detto regolamento.

La Corte ha preliminarmente ricordato che ai sensi del GDPR il titolare deve garantire il carattere “lecito” del trattamento dei dati da esso effettuato, che si verifica solo se ricorre almeno una delle condizioni tassativamente elencate dall’articolo 6, paragrafo 1[7], di tale regolamento[8]. Di conseguenza, ogni trattamento di dati personali deve essere conforme ai principi elencati all’articolo 5, paragrafo 1[9], del GDPR e soddisfare le condizioni di liceità elencate all’articolo 6 di quest’ultimo[10]. Dal momento che, inoltre, gli articoli da 7 a 11 del GDPR precisano la portata degli obblighi a carico del titolare del trattamento derivanti dall’articolo 5, paragrafo 1, lettera a), e dall’articolo 6, paragrafo 1, di tale regolamento, il trattamento di dati personali, per essere lecito, deve altresì rispettare le altre disposizioni del Capo II che riguardano il consenso, il trattamento di categorie particolari di dati personali sensibili nonché quello di dati personali relativi a condanne penali e a reati[11].

Tutto ciò premesso, secondo la Corte il rispetto, da parte del titolare del trattamento, dell’obbligo di concludere un accordo che determini la contitolarità del trattamento, previsto dall’articolo 26 del GDPR, nonché di quello di tenere un registro delle attività di trattamento, sancito all’articolo 30 di tale regolamento, non rientra tra le condizioni di liceità del trattamento contemplate dall’articolo 6, paragrafo 1, primo comma, dello stesso. Di conseguenza, la violazione, da parte del titolare del trattamento, degli obblighi previsti da tali articoli non costituisce un “trattamento illecito” ai sensi dell’articolo 17, paragrafo 1, lettera d), e dell’articolo 18, paragrafo 1, lettera b), del GDPR, che deriverebbe dalla violazione, da parte dello stesso, del principio di “responsabilizzazione” di cui all’articolo 5, paragrafo 2.

Alla luce della risposta fornita alla prima questione, la Corte ha ritenuto non necessario rispondere alla seconda, con la quale il giudice del rinvio chiedeva se la sussistenza di un diritto alla cancellazione o di un diritto di limitazione di trattamento comporti che i dati trattati non possano essere presi in considerazione nell’ambito di un procedimento giudiziario.

Con la terza questione, infine, il giudice del rinvio chiedeva se il diritto dell’Unione debba essere interpretato nel senso che, qualora il titolare del trattamento di dati personali abbia violato gli obblighi che gli derivano dagli articoli 26 o 30 del GDPR, la liceità della presa in considerazione di tali dati da parte di un giudice nazionale è subordinata al consenso dell’interessato.

Secondo la Corte, nel caso in cui un giudice eserciti le competenze giurisdizionali conferitegli dal diritto nazionale, il trattamento di dati personali che egli è chiamato ad effettuare deve essere considerato necessario alla finalità prevista all’articolo 6, paragrafo 1, primo comma, lettera e), del GDPR, relativa all’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Di conseguenza, poiché, da un lato, è sufficiente che una delle condizioni stabilite all’articolo 6, paragrafo 1, del GDPR sia soddisfatta affinché un trattamento di dati personali possa essere considerato lecito e, dall’altro, la violazione degli articoli 26 e 30 di tale regolamento non costituisce un trattamento illecito, la presa in considerazione, da parte del giudice del rinvio, di dati personali che sarebbero stati trattati dall’Ufficio federale in violazione degli obblighi previsti da tali articoli non è subordinata al consenso dell’interessato.

Tutto ciò premesso, la Corte ha pertanto statuito che:

L’articolo 17, paragrafo 1, lettera d), e l’articolo 18, paragrafo 1, lettera b), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) devono essere interpretati nel senso che la violazione, da parte del titolare del trattamento, degli obblighi previsti agli articoli 26 e 30 di tale regolamento, relativi, rispettivamente, alla conclusione di un accordo che determina la contitolarità del trattamento e alla tenuta di un registro delle attività di trattamento, non costituisce un trattamento illecito che conferisce all’interessato il diritto alla cancellazione o alla limitazione del trattamento, poiché una siffatta violazione non implica, in quanto tale, una violazione da parte del titolare del trattamento del principio di «responsabilizzazione» quale sancito dall’articolo 5, paragrafo 2, di detto regolamento, in combinato disposto con l’articolo 5, paragrafo 1, lettera a), e con l’articolo 6, paragrafo 1, primo comma, dello stesso.

Il diritto dell’Unione deve essere interpretato nel senso che, qualora il titolare del trattamento di dati personali abbia violato gli obblighi che gli derivano dagli articoli 26 o 30 del regolamento 2016/679, la liceità della presa in considerazione di siffatti dati da parte di un giudice nazionale non è subordinata al consenso dell’interessato”.