Corte di Giustizia UE: la firma autografa è un dato personale, e il Registro delle imprese non può pubblicare senza consenso dati non richiesti per legge
Di recente, la Corte di Giustizia dell'Unione europea ha risolto alcune questioni in materia di interpretazione del Gdpr, tra le quali il fatto se la firma autografa sia o meno un dato personale, se i documenti forniti al Registro delle imprese possano essere pubblicati senza un consenso esplicito degli interessati, i casi in cui i danni morali derivanti dalla pubblicazione di dati personali siano risarcibili, e sul valore dei pareri emessi da un’autorità garante per la privacy.
Con la sentenza del 4 ottobre 2024 resa nella causa C-200/23, la Corte di giustizia dell'Unione Europea (CGUE) ha infatti risposto ad una serie di questioni della Corte amministrativa suprema bulgara (SAC) relative all'applicazione del Regolamento generale sulla protezione dei dati (GDPR) e della normativa dell’Agenzia delle iscrizioni - Registro delle Imprese.
Pubblicazione documenti forniti al Registro delle imprese contenenti dati personali - La norma contenuta nella legge bulgara sul registro delle imprese e sul registro delle persone giuridiche senza scopo di lucro (ZTRRYULNC), secondo cui se le domande o i documenti presentati contengono dati personali non richiesti dalla legge, presuppone che vi sia implicitamente il consenso per la loro pubblicazione, ed è pertanto in contraddizione con Diritto dell'UE.
Una delle questioni poste dalla Suprema Corte della Bulgaria era relativa alla regola dell'art. 13, par. 9 della ZTRRYULNC, che prevede quanto segue: "Quando la domanda o i documenti ad essa allegati contengono dati personali che non sono richiesti dalla legge, si ritiene che le persone che li hanno forniti abbiano dato il loro consenso al loro trattamento da parte dell'agenzia e alla fornitura di servizi pubblici”.
Ma nella sentenza in esame, la CGUE ha affermato che "...la presunzione prevista dall'art. 13, par. 9 della ZTRRYULNC non può essere considerata un consenso liberamente espresso, specifico, informato e inequivocabile al trattamento dei dati personali da parte di un ente pubblico come l'Agenzia", vale a dire che non soddisfa i requisiti GDPR.
Nella sua decisione, la CGUE afferma che l’art. 21, § 2 della Direttiva 2017/1132 del 14 giugno 2017 su taluni aspetti del diritto societario non impone allo Stato membro l'obbligo di consentire la pubblicazione nel registro delle imprese di un contratto societario soggetto all'obbligo di pubblicità ai sensi di tale direttiva e che, oltre ai dati personali minimi richiesti, contiene anche altri dati personali la cui pubblicazione non è richiesta dalla legge di tale Stato membro. E poi precisa che la direttiva e il GDPR "non ammettono una regolamentazione giuridica o una prassi di uno Stato membro che suggerisca che l'organismo incaricato della tenuta del registro delle imprese di quello Stato membro respinga qualsiasi richiesta di cancellazione di dati non richiesti dal direttiva o il diritto dello Stato membro ai dati personali contenuti in un contratto aziendale pubblicato nel registro, quando, contrariamente alle norme procedurali previste da tale regolamento, non è stata fornita copia del contratto con la cancellazione di tali dati ".
Casi di risarcibilità dei danni derivanti dalla pubblicazione di dati personali nel Registro delle imprese - Un’altra delle questioni controverse del caso, su cui la Corte suprema amministrativa bulgara aveva chiesto un'interpretazione alla CGUE, è relativa a quando sussistano danni morali risarcibili derivanti dalla pubblicazione dei dati personali nel Registro delle Imprese. I giudici della suprema Corte si sono chiesti se dovessero essere riconoscibili conseguenze negative e un impatto oggettivamente accertabile sugli interessi privati, oppure se fosse sufficiente solo una "perdita a breve termine del diritto sovrano dell'interessato di disporre dei propri dati personali", senza che ciò abbia comportato conseguenze evidenti o negative per lui.
La CGUE ha stabilito che "la perdita, per un periodo limitato, del controllo dei propri dati personali da parte dell'interessato a causa della loro pubblicazione online nel registro delle imprese dello Stato membro può essere sufficiente a causare danni immateriali, a condizione che l'interessato dimostri di aver effettivamente subito tali danni, anche se minimi, ma senza che la nozione di danno immateriale richieda la prova dell'esistenza di ulteriori conseguenze negative tangibili".
Firma autografa è un dato personale - È sorta anche la questione se le firme autografe siano dati personali o meno.
La Corte ha affermato che la firma autografa della persona fisica rientra nella nozione di "dato personale" ai sensi dell'art. 4, comma 1, del GDPR, sottolineando che la firma autografa dell'individuo serve per identificarlo, per dare valore probatorio ai documenti su cui è apposto, per la loro fedeltà e veridicità o per rivendicare la responsabilità in relazione ad essi. "Nel contratto di costituzione di una societa’, inoltre, la firma dei partner figura accanto ai loro nomi", ha precisato la CGUE, ricordando di aver già accettato nelle sue decisioni che la grafia fornisca anche informazioni sulla persona.
Valore dei pareri dell’autorità per la privacy - Un’ulteriore questione interessante tra quelle sollevate dal caso riguarda il valore delle opinioni delle autorità di vigilanza, ovvero quelle che ai sensi del GDPR sono note come Garanti della privacy. In Bulgaria è la Commissione per la protezione dei dati personali e, proprio sulla base del suo parere, l’ Agenzia delle iscrizioni si rifiuta di cancellare i dati personali presenti nel contratto di costituzione della società, previsto per la registrazione. La CGUE ha discusso in dettaglio i diversi poteri delle autorità di controllo e ha concluso che i loro pareri "non sono giuridicamente vincolanti ai sensi del diritto dell'Unione". E precisa che, poiché il parere non è giuridicamente vincolante, esso non potrebbe di per sé provare l'impossibilità di imputare il danno alla responsabilità personale del titolare del trattamento dei dati personali.
Pertanto, la CGUE ha fornito la seguente interpretazione vincolante: "...il parere dell'autorità di controllo dello Stato membro, rilasciato sulla base dell'articolo 58, paragrafo 3, lettera b) del GDPR, non è sufficiente a esonerare dalla responsabilità ai sensi dell'articolo 82, paragrafo 2, l'autorità incaricata della tenuta del registro delle imprese di tale Stato membro, che riveste la qualità di "amministratore" ai sensi dell'articolo 4, punto 7 del regolamento".
