Anche un organismo di natura pubblica, quale un Ufficio o Servizio, privo di personalità giuridica o capacità giuridica propria, può essere considerato Titolare del trattamento di dati personali ai sensi dell’art. 4 punto 7 del Regolamento 2016/679 – GDPR e, conseguentemente, tenuto a rispondere agli obblighi e responsabilità in materia di protezione dei dati personali incombenti nei confronti degli interessati.
È quanto ha ribadito la sentenza della Corte di giustizia dell’UE del 27 febbraio 2025[1] ECLI:EU:C:2025:127.
La Newsletter della Fondazione Logos PA si occupa questa settimana di una peculiare pronuncia dall’innovativo portato ermeneutico che amplia l’ambito di applicazione dell’art. 4 punto 7 del GDPR indicando i criteri per la possibile attribuzione del ruolo di Titolare dei ad Uffici ausiliari della pubblica amministrazione maggiormente a contatto con il cittadino, nel primario obiettivo, perseguito dal diritto dell’ Unione, di “garantire un elevato livello di tutela del diritto alla vita privata, come sancito dalla Carta dei Diritti Fondamentali dell’Unione europea”[2].
Il quadro normativo nazionale di riferimento
La qualificazione giuridica soggettiva di Titolare del Trattamento dei dati (come anche quella speculare di Responsabile del Trattamento) non è conferita, né secondo ordinamento italiano né nella disciplina europea, a mezzo di specifici atti di investitura formale ma viene bensì attribuita sulla base di criteri generali e dell’effettiva attività svolta nel trattamento dei dati.
In particolare l’esatta definizione di Titolare del trattamento (cd. data controller) è fornita dal Regolamento GDPR che, all’’art. 4. par. 1, n. 7, ove viene individuato come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali“.
Ulteriori riferimenti ermeneutici, sul punto, sono costituiti dalle specifiche Linee Guida 07/2020 sul concetto di titolare e responsabile del trattamento elaborate dal Comitato europeo per la protezione dei dati. Secondo l’EDPB l’ elemento fondamentale per l’individuazione del ruolo del titolare è l’ l’influenza del soggetto sul trattamento stesso qual manifestazione del potere decisionale esercitato nel trattamento. Ai sensi del paragrafo 2.1.2 delle Guidelines la detta influenza e capacità decisionale possono derivare da disposizioni di legge oppure da una concreta influenza fattuale. In sintesi il Titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che hai il potere di “stabilire il «perché» e il «come» devono essere trattati i dati”[3].
La giurisprudenza nazionale e comunitaria, in questo senso, ha sempre sostenuto un concetto “funzionale” di Titolare dei dati, prediligendo un’analisi fattuale piuttosto che formale. Il riconoscimento del titolare del trattamento è stato operato infatti in concreto, in ragione dell’autonomia decisionale e gestionale manifestata [4] ammettendo l’ipotesi che spesso alcune decisioni possano essere delegate a terzi al punto tale da determinarne la titolarità in capo al soggetto incaricato[5].
La casistica affrontata dai Giudici Europei negli anni ha riguardato principalmente fattispecie relative ad organismi di diritto privato atteso che, per gli Enti pubblici, l’archetipo dell’organigramma privacy GDPR è stato generalmente modellato sulla base della architettura organizzativa gerarchica degli Enti Pubblici, caratterizzata dalla concentrazione di responsabilità negli organi centrali delle amministrazioni in virtu’ della loro potestà deliberativa.
La decisione in commento che, ricordiamo, riconosce il ruolo di Titolare ad un Ufficio delegato da un Governo nazionale, riveste particolare interesse perché’ rappresenta una delle isolate e più recenti pronunce della Corte di Giustizia Europea relativa al ruolo privacy di organismi pubblici o comunque incaricati di perseguire finalità di interesse generale di tipo ausiliario e non dotato di autonomia amministrativa.
La fattispecie e la questione pregiudiziale
La vicenda traeva origine da un reclamo presentato da un cittadino austriaco relativo al trattamento di dati particolari effettuato, in periodo pandemia COVID-19, da un Ufficio autonomo, operante a supporto del Governo del Land Tirolo (Austria). L’ Ufficio / Servizio designato dal Governo austriaco incaricava due imprese private di spedire lettere di promemoriaper le vaccinazioni, permettendo alle stesse l’accesso all’ anagrafe centrale vaccini nonché nel registro dei pazienti.
Oggetto del ricorso, e contestato motivo dell’illiceità del trattamento, era il difetto di legittimazione dell’Ufficio strumentale al diritto di consultare le citate banche dati per assenza di specifica autorizzazione e carenza di titolarità sul piano privacy.
La questione pregiudiziale veniva quindi sottoposta dal giudice austriaco alla Corte europea e verteva, in particolare, su due aspetti
- l’attribuibilità della qualifica soggettiva di Titolare del Trattamento dei dati ad un’entità amministrativa ausiliaria, quale un Ufficio o un Servizio, di natura pubblica, correttamente individuata dall’ente amministrativo nazionale sovraordinato ma priva di personalità giuridica nonché di una capacità giuridica propria, in assenza di specificazioni e istruzioni circa le operazioni di trattamento di dati personali né la finalità di tali operazioni da parte dell’Ente principale;
- in caso affermativo, la necessità per il detto Ufficio/Servizio, ai fini della attribuzione della titolarità e della relativa accountability, di detenere effettiva capacità decisionale in merito alle finalità e ai mezzi del trattamento dei dati personali
L’iter logico-argomentativo dei giudici comunitari e la decisione
I Giudici europei, facendo preliminarmente riferimento alla ampiezza dell’accezione di Titolare dei dati nella formulazione dell’articolo 4, punto 7, del Regolamento GDPR ove risulta che un titolare del trattamento può essere anche un servizio o un organismo, non necessariamente dotato di personalità giuridica, pongono piuttosto l’accento, ai fini della qualificazione, sulla necessità della determinazione, da parte della normativa nazionale, di finalità e i mezzi del trattamento del servizio/organismo ritenuto responsabile della gestione dei dati.
In particolare, richiamando propria precedente recente giurisprudenza[6], sottolinea come, ai fini dell’attribuzione del ruolo di Titolare, sia necessario che tale determinazione possa essere anche implicita ma in grado di permettere in maniera sufficientemente certa: il ruolo, la funzione e le attribuzioni devolute all’entità pubblica interessata.
Quanto al livello di influenza richiesto all’organismo da considerare controller dei dati, la Corte rileva l’ininfluenza della carenza di potestà decisionale in merito alle finalità e ai mezzi del trattamento dei dati personali, stante la possibilità per gli interessati di rivolgere tali richieste a un’altra entità che essi considerano titolare o contitolare del trattamento dei loro dati personali a causa dell’influenza che quest’altra entità ha esercitato sulla determinazione delle finalità e dei mezzi del trattamento in questione.
Le ricadute sistematiche e interpretative della pronuncia
Appare chiaro come la CGE (che – giova ricordare- introduce principi efficaci extra partes e quindi applicabili in tutti gli ordinamenti degli stati membri in virtu’ della funzione nomofilattica delle Corti Europee) ribadisca la reale configurabilità di ipotesi di autonoma titolarità dei dati in capo Uffici/ Servizi/ Entità di tipo ausiliario non dotati di autonomia giuridica fissando specifici criteri per l’attribuzione del ruolo privacy.
Dalla disamina della decisione in commento è infatti possibile estrapolare precisi elementi discretivi, indicati dai giudici comunitari quali condizioni richieste per l’investitura dell’organismo pubblico delegato del trattamento e precisamente:
- l’idoneità dell’Ufficio/Organismo, conformemente alla normativa nazionale, alla gestione degli obblighi incombenti a un titolare del trattamento nei confronti degli interessati in materia di protezione dei dati personali
- la determinazione, da parte di norme nazionali, anche in via indiretta, dell’ambito di portata del trattamento di dati personali di cui tale entità subordinata è titolare
- l’opportunità di stabilire rapporti di contitolarità con l’Ente sovraordinato -anche limitatamente agli specifici trattamenti delegati- in ragione dell’influenza che l’Ente sovraordinato ha esercitato sulla determinazione delle finalità e dei mezzi
Volgendo lo sguardo al panorama nazionale, la pronuncia europea apre ad una nuova riflessione circa la necessità di una accurata e aderente interpretazione del ruolo del Titolare del trattamento dei dati, quanto mai attuale alla luce delle nuove attribuzioni affidate agli organismi territoriali determinatesi con l’adozione di modelli di amministrazione pubblica decentrati quale realizzazione del principio di sussidiarietà verticale.
Si pensi agli enti pubblici strumentali o funzionali, che perseguono fini di un altro ente pubblico (ente principale o ausiliato sovente di natura territoriale) al quale sono legati da vincoli di soggezione quali i Servizi Amministrativi Distrettuali o gli Uffici Speciali. Parimenti interessati appaiono gli organismi ed uffici istituiti per l’esercizio congiunto delle funzioni amministrative quali la gestione distrettuale del sistema integrato di interventi e servizi sociali (ad esempio gli Uffici di Piano dei Piani di Zona), o dei servizi pubblici integrati (si pensi agli A.T.O).
Un ripensamento del ruolo privacy di soggetti decentrati, privi di autonomia giuridica e decisionale, ma al contempo più vicini e a contatto con gli interessati, nonché’ coinvolti in complessi trattamenti di dati, pone quindi l’esigenza di una attenta analisi dei contesti dei trattamenti delegati e delle catene decisionali, per l’ elaborazione di modelli organizzativi privacy conformi e l’adozione di adeguate misure tecniche ed organizzative di accountability.
Di seguito, per utilità, si riporta il dispositivo della sentenza ECLI:EU:C:2025:127:
“L’articolo 4, punto 7, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), dev’essere interpretato nel senso che:
esso non osta a una normativa nazionale che designi, quale titolare del trattamento, un’entità amministrativa ausiliaria priva di personalità giuridica nonché di una capacità giuridica propria, senza precisare, in concreto, le operazioni specifiche di trattamento di dati personali di cui tale entità è titolare né la finalità di tali operazioni, purché, da un lato, una siffatta entità sia atta a rispondere, conformemente alla normativa nazionale di cui trattasi, agli obblighi incombenti a un titolare del trattamento nei confronti degli interessati in materia di protezione dei dati personali e, dall’altro, detta normativa nazionale determini, esplicitamente o quantomeno implicitamente, la portata del trattamento di dati personali di cui tale entità è titolare”.
A cura di Avv. Chiara De Angelis
[1] Sentenza ECLI:EU:C:2025:127 https://curia.europa.eu/juris/document/document.jsf;jsessionid=224787CE5B7A566630BD64B809430401?text=&docid=295847&pageIndex=0&doclang=IT&mode=req&dir=&occ=first&part=1&cid=21477575
[2] Articolo 7 – Rispetto della vita privata e della vita familiare Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni.
[3] Linee guida 07/2020, par. 2.1.4, sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR Versione 2.0 adottate il 7 luglio 2021
[4] Sul concreto atteggiarsi dell’esercizio del potere decisionale autonomo dei soggetti coinvolti nel trattamento quale elemento di discrimine cfr. ex multis Corte di Cassazione Ordinanza n. 21234 del 23 luglio 2021
[5] Si veda la Sentenza CGE DEL 29 luglio 2019 nel caso Fashion ID GmbH & co. KG (C-40/2017) oppure la Sentenza CGE (Grande Sezione) 5 dicembre 2023 ECLI:EU:C:2023:951 per cui anche l’integrazione di un servizio che comporta elaborazione di dati (es. l’inserimento di plugin Facebook) e la capacità di influenzare tale elaborazione porta alla qualifica di titolare del trattamento (ovviamente solo con riferimento alla parte di elaborazione dei dati realmente decisa).
[6] Cfr. sentenza dell’11 gennaio 2024, État belge (Dati trattati da una gazzetta ufficiale), C‑231/22, EU:C:2024:7, punto 30
