Registro delle imprese e trattamento dei dati personali: l'impatto della recente giurisprudenza della Corte di Giustizia dell'Unione Europea (CGUE)

La protezione dei dati personali è un tema sempre più rilevante nel panorama giuridico europeo, specie alla luce delle recenti pronunce della Corte di Giustizia dell'Unione Europea (CGUE) sull'interpretazione del Regolamento Generale sulla Protezione dei Dati (GDPR). In particolare, la sentenza del 4 ottobre 2024, resa nella causa C-200/23, ha fornito chiarimenti su diverse questioni cruciali riguardanti il trattamento dei dati personali nell’ambito dei documenti presso il Registro delle Imprese e i confini della tutela dei diritti individuali in questo ambito.

Pubblicazione dei documenti contenenti dati personali nel Registro delle Imprese

Uno dei temi affrontati dalla CGUE riguarda la pubblicazione dei documenti forniti al Registro delle Imprese che contengono dati personali non richiesti dalla legge. La normativa bulgara, contenuta nella legge sul registro delle imprese (ZTRRYULNC), prevedeva che la semplice presentazione di tali documenti implicasse un consenso implicito alla loro pubblicazione. Tuttavia, la Corte ha chiarito che questa presunzione non è conforme ai dettami del GDPR.

In particolare, l'art. 13, par. 9 della legge bulgara - secondo il quale “Quando la domanda o i documenti ad essa allegati contengono dati personali che non sono richiesti dalla legge, si ritiene che le persone che li hanno forniti abbiano dato il loro consenso al loro trattamento da parte dell'agenzia e alla fornitura di servizi pubblici”- non può essere interpretato come un consenso liberamente espresso, specifico, informato e inequivocabile al trattamento dei dati personali, come previsto dall'art. 4 del GDPR.

Questo principio assume rilevanza in tutti quei contesti in cui il trattamento dei dati personali viene giustificato attraverso pratiche amministrative che non rispettano il dettato del regolamento europeo.

Danni morali risarcibili derivanti dalla pubblicazione dei dati

Un altro punto centrale della sentenza riguarda i danni morali risarcibili derivanti dalla pubblicazione di dati personali nel Registro delle Imprese. La Corte Suprema Amministrativa bulgara aveva sollevato la questione su quando tali danni siano effettivamente risarcibili, e la CGUE ha affermato che la semplice perdita del controllo sui propri dati personali, anche per un periodo limitato, può essere sufficiente a giustificare un risarcimento. Ciò vale anche in assenza di ulteriori conseguenze negative tangibili.

Secondo la CGUE, è sufficiente dimostrare che la pubblicazione dei dati personali abbia causato un danno immateriale, anche minimo, per rendere risarcibile tale violazione. Questo orientamento rafforza la tutela dei diritti degli interessati, che possono vedersi riconosciuti risarcimenti anche in presenza di violazioni apparentemente meno gravi, ma che comunque incidono sul diritto fondamentale alla protezione dei dati.

La firma autografa come dato personale

Un'altra questione rilevante trattata dalla Corte riguarda il riconoscimento della firma autografa come dato personale. La CGUE ha ribadito che la firma di una persona fisica costituisce un dato personale ai sensi del GDPR, in quanto serve a identificare l'individuo e a dare valore probatorio ai documenti sui quali è apposta. La firma autografa, infatti, non solo identifica direttamente il soggetto, ma fornisce anche informazioni sulla persona, tramite l’analisi della grafia.

Questo chiarimento è particolarmente significativo nell'ambito del diritto societario, dove la firma su documenti aziendali svolge un ruolo chiave nella validazione dei contratti e nella responsabilità personale degli individui coinvolti. La pubblicazione non autorizzata di tali dati nel Registro delle Imprese potrebbe, quindi, violare il GDPR.

Il valore dei pareri delle autorità garanti per la privacy

Un altro tema di grande interesse sollevato dalla sentenza riguarda il valore giuridico dei pareri emessi dalle autorità di vigilanza sulla protezione dei dati. In Bulgaria, la Commissione per la protezione dei dati personali aveva rilasciato un parere in base al quale l’Agenzia delle iscrizioni avrebbe potuto rifiutarsi di cancellare dati personali già pubblicati nel Registro delle Imprese. La CGUE ha chiarito che tali pareri non sono giuridicamente vincolanti e non possono essere utilizzati per esonerare automaticamente un titolare del trattamento dalla sua responsabilità, qualora tali pareri siano contrari al GDPR.

In particolare, la Corte ha specificato che, ai sensi dell’art. 82 del GDPR, l’autorità incaricata della tenuta del Registro delle Imprese, in qualità di "titolare del trattamento", non può sottrarsi alle proprie responsabilità solo sulla base del parere di un’autorità garante. Questo rafforza la responsabilità dei titolari del trattamento, richiedendo loro di agire in conformità alle disposizioni del GDPR, anche se sostenuti da opinioni contrarie al GDPR delle autorità di controllo.

Conclusioni

La sentenza della CGUE esaminata, pertanto, rappresenta un importante passo avanti nella tutela della privacy e nella corretta applicazione del GDPR. Le implicazioni di questa decisione si estendono oltre i confini della Bulgaria, stabilendo principi chiari per tutti gli Stati membri dell'UE in materia di trattamento dei dati personali nel contesto delle attività di tenuta del Registro delle Imprese.

In sintesi, la Corte ha ribadito che:

• il consenso al trattamento dei dati personali deve essere esplicito e specifico e non può essere presunto;

• la perdita, anche temporanea, del controllo sui dati personali può giustificare un risarcimento per danni morali;

• la firma autografa è un dato personale a tutti gli effetti;

• i pareri delle autorità garanti non sono vincolanti e non esonerano dalla propria responsabilità i titolari del trattamento.

Queste interpretazioni della CGUE rafforzano il quadro di protezione dei dati personali e impongono agli operatori del settore pubblico e privato un maggiore rigore nel trattamento dei dati personali.