DIRITTO PROCESSUALE: PENALE, CIVILE, AMMINISTRATIVO, EUROPEO – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Limitazione della conservazione – Liceità del trattamento di detti dati relativo a un contratto di lavoro nell’ambito di un procedimento giudiziario – Assenza di un obbligo di cancellare gli stessi dati in caso di trattamento necessario per accertare, esercitare o difendere diritti in sede giudiziaria – Dati raccolti dal datore di lavoro al fine di accertare una grave violazione degli obblighi da parte del dipendente – Utilizzo di prove ottenute in modo illecito – Dati personali relativi a terzi non coinvolti in un procedimento – Esame dei fatti e dell’acquisizione delle prove da parte di un giudice – Principio della «minimizzazione dei dati» – Regolamento (UE) 2016/679.
Provvedimento: SENTENZA
Sezione: 5^
Regione:
Città:
Data di pubblicazione: 18 Giugno 2026
Numero: C‑484/24
Data di udienza:
Presidente: Arastey Sahún
Estensore: Regan
Premassima
DIRITTO PROCESSUALE: PENALE, CIVILE, AMMINISTRATIVO, EUROPEO – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Limitazione della conservazione – Liceità del trattamento di detti dati relativo a un contratto di lavoro nell’ambito di un procedimento giudiziario – Assenza di un obbligo di cancellare gli stessi dati in caso di trattamento necessario per accertare, esercitare o difendere diritti in sede giudiziaria – Dati raccolti dal datore di lavoro al fine di accertare una grave violazione degli obblighi da parte del dipendente – Utilizzo di prove ottenute in modo illecito – Dati personali relativi a terzi non coinvolti in un procedimento – Esame dei fatti e dell’acquisizione delle prove da parte di un giudice – Principio della «minimizzazione dei dati» – Regolamento (UE) 2016/679.
Massima
CORTE DI GIUSTIZIA UE, Sez.5^, 18 giugno 2026, Sentenze C‑484/24
DIRITTO PROCESSUALE: PENALE, CIVILE, AMMINISTRATIVO, EUROPEO – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Limitazione della conservazione – Liceità del trattamento di detti dati relativo a un contratto di lavoro nell’ambito di un procedimento giudiziario – Assenza di un obbligo di cancellare gli stessi dati in caso di trattamento necessario per accertare, esercitare o difendere diritti in sede giudiziaria – Dati raccolti dal datore di lavoro al fine di accertare una grave violazione degli obblighi da parte del dipendente – Utilizzo di prove ottenute in modo illecito – Dati personali relativi a terzi non coinvolti in un procedimento – Principio della «minimizzazione dei dati» – Regolamento (UE) 2016/679.
L’articolo 6, paragrafo 1, primo comma, lettera c), e paragrafo 3, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), letto alla luce dell’articolo 8, paragrafo 2, e dell’articolo 52 della Carta dei diritti fondamentali dell’Unione europea, dev’essere interpretato nel senso che: esso non osta a una normativa nazionale che, nel caso di un trattamento di dati personali effettuato nell’ambito dell’esame dei fatti e dell’acquisizione delle prove da parte di un giudice, si limiti a prevedere che spetta alle parti presentare elementi di fatto circostanziati e veritieri nonché a imporre a tale giudice di prenderli pienamente in considerazione, prima, se del caso, di effettuarne una valutazione, senza contenere indicazioni sulle circostanze e sulle condizioni in cui i fatti riferiti e le prove dedotte dalle parti contenenti dati personali possano essere utilizzati da tale giudice, sempreché esista una giurisprudenza nazionale chiara, precisa e di prevedibile applicazione che stabilisca essa stessa le circostanze e le condizioni nelle quali i fatti riferiti e le prove dedotte dalle parti contenenti dati personali possono essere utilizzati da un giudice, e tale giurisprudenza risponda a un obiettivo di interesse pubblico e sia proporzionata a quest’ultimo. L’articolo 17, paragrafo 3, lettera e), del regolamento 2016/679 dev’essere interpretato che: tale disposizione non enuncia una condizione alternativa di liceità che un trattamento potrebbe soddisfare per essere conforme all’articolo 5, paragrafo 1, lettera a), del predetto regolamento e che sia distinta da una di quelle elencate all’articolo 6, paragrafo 1, primo comma, del medesimo regolamento. Mentre, l’articolo 5, paragrafo 1, lettera c), del regolamento 2016/679, in combinato disposto con l’articolo 52, paragrafo 1, seconda frase, della Carta dei diritti fondamentali, dev’essere interpretato nel senso che: il principio della «minimizzazione dei dati» non richiede, per un giudice, di garantire il rispetto, per ogni trattamento di dati personali da esso effettuato, del principio di proporzionalità, assicurandosi che i dati trattati in tale occasione siano idonei a consentire la realizzazione dell’obiettivo perseguito da tale trattamento, nonché strettamente necessari a tal fine, e che la gravità dell’ingerenza nei diritti fondamentali che comporta la presa in considerazione di tali dati al fine di effettuare detto trattamento, sia in relazione con l’interesse che presenta, per tale giudice, il ricorso a questi dati per effettuare il medesimo trattamento, purché siano rispettate le condizioni previste all’articolo 5, paragrafo 1, lettera c), del regolamento 2016/679. Gli articoli 7 e 8 della Carta dei diritti fondamentali, l’articolo 5, paragrafo 1, del regolamento 2016/679, l’articolo 6, paragrafo 1, primo comma, lettera c), di tale regolamento, in combinato disposto con l’articolo 6, paragrafo 3, dello stesso, e il principio della «minimizzazione dei dati» devono essere interpretati nel senso che: essi non ostano a che un giudice nazionale utilizzi elementi di prova contenenti dati personali ottenuti dalla parte che li ha trasmessi in violazione del diritto alla tutela della vita privata e del diritto alla protezione dei dati personali, qualora tale parte non abbia un legittimo interesse a tale trattamento che sia superiore a quello di comprovare semplicemente gli elementi di fatto da essa dedotti. Per contro, prima di procedere alla divulgazione di tali dati alle altre parti o a terzi, detto giudice deve verificare che tali dati siano limitati a quanto necessario rispetto alle finalità per le quali avviene tale divulgazione e, se del caso, adottare determinate misure per minimizzare la lesione del diritto alla protezione dei dati personali che una siffatta divulgazione può comportare. L’articolo 13, paragrafi 1 e 2, del regolamento 2016/679 dev’essere interpretato nel senso che: esso non osta a che un giudice nazionale utilizzi, nell’esercizio della sua funzione giurisdizionale, dati raccolti da una parte o da un terzo che non abbiano rispettato gli obblighi di informazione ad essi incombenti in forza di tale disposizione. Infine, il regolamento 2016/679 dev’essere interpretato nel senso che: un giudice è tenuto, nell’esercizio della sua funzione giurisdizionale, a garantire il rispetto di tale regolamento, quando tratta dati personali relativi a terzi non coinvolti in un procedimento. Il diritto dell’Unione non esige che una delle parti di tale procedimento possa invocare la circostanza che tali dati sono stati raccolti o conservati illecitamente, ai sensi di detto regolamento, dall’altra parte, in violazione dei diritti che tali terzi traggono dal medesimo regolamento.
Pres. Arastey Sahún, Rel. Regan, Ric.NTH Haustechnik GmbH c. E. M.
Allegato
Titolo Completo
CORTE DI GIUSTIZIA UE, Sez.5^, 18 giugno 2026, Sentenze C‑484/24SENTENZA
CORTE DI GIUSTIZIA UE, Sez.5^, 18 giugno 2026, Sentenze C‑484/24
« Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 5, paragrafo 1, lettera e) – Limitazione della conservazione – Articolo 6, paragrafo 1, primo comma, lettera e) – Liceità del trattamento di detti dati relativo a un contratto di lavoro nell’ambito di un procedimento giudiziario – Articolo 17, paragrafo 3, lettera e) – Assenza di un obbligo di cancellare gli stessi dati in caso di trattamento necessario per accertare, esercitare o difendere diritti in sede giudiziaria – Dati raccolti dal datore di lavoro al fine di accertare una grave violazione degli obblighi da parte del dipendente – Utilizzo di prove ottenute in modo illecito »
Nella causa C‑484/24,
avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Landesarbeitsgericht Niedersachsen (Tribunale superiore del lavoro del Land, Bassa Sassonia, Germania), con decisione dell’8 maggio 2024, pervenuta in cancelleria il 10 luglio 2024, nel procedimento
NTH Haustechnik GmbH
contro
EM,
LA CORTE (Quinta Sezione),
composta da M.L. Arastey Sahún, presidente di sezione, J. Passer, E. Regan (relatore), D. Gratsias e B. Smulders, giudici,
avvocato generale: D. Spielmann
cancelliere: G. Chiapponi, amministratore
vista la fase scritta del procedimento e in seguito all’udienza del 2 luglio 2025,
considerate le osservazioni presentate:
– per il governo tedesco, da J. Möller e P.-L. Krüger, in qualità di agenti;
– per il governo ungherese, da M.Z. Fehér, K. Szíjjártó e Zs. Biró-Tóth, in qualità di agenti;
– per il governo finlandese, da A. Laine e H. Leppo, in qualità di agenti;
– per la Commissione europea, da A. Bouchagiar, F. Erlbacher e H. Kranenborg, in qualità di agenti,
sentite le conclusioni dell’avvocato generale, presentate all’udienza del 16 ottobre 2025,
ha pronunciato la seguente
Sentenza
1 La domanda di pronuncia pregiudiziale verte sull’interpretazione degli articoli 5, 6, 9, 13 e 17 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).
2 Tale domanda è stata presentata nell’ambito di una controversia tra la NTH Haustechnik GmbH (in prosieguo: la «NTH») e la sua ex dipendente EM in merito al risarcimento del danno che tale società avrebbe subito a causa della rivendita online non autorizzata di beni ad essa appartenenti.
Contesto normativo
Diritto dell’Unione
3 I considerando 1, 2, 4, 7, 10, 20, 39 e 41 del RGPD così recitano:
«(1) La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (“Carta”) e l’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea [TFUE] stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
(2) I principi e le norme a tutela delle persone fisiche con riguardo al trattamento dei dati personali dovrebbero rispettarne i diritti e le libertà fondamentali, in particolare il diritto alla protezione dei dati personali, a prescindere dalla loro nazionalità o dalla loro residenza. Il presente regolamento è inteso a contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia e di un’unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone fisiche.
(…)
(4) Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.
(…)
(7) Tale evoluzione richiede un quadro più solido e coerente in materia di protezione dei dati nell’Unione [europea], affiancato da efficaci misure di attuazione, data l’importanza di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno. È opportuno che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche.
(…)
(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. Per quanto riguarda il trattamento dei dati personali per l’adempimento di un obbligo legale, per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l’applicazione delle norme del presente regolamento. In combinato disposto con la legislazione generale e orizzontale in materia di protezione dei dati che attua la direttiva 95/46/CE [del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31)] gli Stati membri dispongono di varie leggi settoriali in settori che richiedono disposizioni più specifiche. Il presente regolamento prevede anche un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali (…). In tal senso, il presente regolamento non esclude che il diritto degli Stati membri stabilisca le condizioni per specifiche situazioni di trattamento, anche determinando con maggiore precisione le condizioni alle quali il trattamento di dati personali è lecito.
(…)
(20) Sebbene il presente regolamento si applichi, tra l’altro, anche alle attività delle autorità giurisdizionali e di altre autorità giudiziarie, il diritto dell’Unione o degli Stati membri potrebbe specificare le operazioni e le procedure di trattamento relativamente al trattamento dei dati personali effettuato da autorità giurisdizionali e da altre autorità giudiziarie. Non è opportuno che rientri nella competenza delle autorità di controllo il trattamento di dati personali effettuato dalle autorità giurisdizionali nell’adempimento delle loro funzioni giurisdizionali, al fine di salvaguardare l’indipendenza della magistratura nell’adempimento dei suoi compiti giurisdizionali, compreso il processo decisionale. Si dovrebbe poter affidare il controllo su tali trattamenti di dati ad organismi specifici all’interno del sistema giudiziario dello Stato membro, che dovrebbero in particolare assicurare la conformità alle norme del presente regolamento, rafforzare la consapevolezza della magistratura con riguardo agli obblighi che alla stessa derivano dal presente regolamento ed esaminare i reclami in relazione a tali operazioni di trattamento dei dati.
(…)
(39) Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto. Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l’informazione degli interessati sull’identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano. È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento. In particolare, le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e precisate al momento della raccolta di detti dati personali. I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. (…)
(…)
(41) Qualora il presente regolamento faccia riferimento a una base giuridica o a una misura legislativa, ciò non richiede necessariamente l’adozione di un atto legislativo da parte di un parlamento, fatte salve le prescrizioni dell’ordinamento costituzionale dello Stato membro interessato. Tuttavia, tale base giuridica o misura legislativa dovrebbe essere chiara e precisa, e la sua applicazione prevedibile, per le persone che vi sono sottoposte, in conformità della giurisprudenza della Corte di giustizia dell’Unione europea (…) e della Corte europea dei diritti dell’uomo».
4 L’articolo 1 del RGPD, intitolato «Oggetto e finalità», così dispone:
«1. Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.
2. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.
3. La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali».
5 L’articolo 2 del RGPD, intitolato «Ambito di applicazione materiale», ai paragrafi 1 e 2, prevede quanto segue:
«1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
2. Il presente regolamento non si applica ai trattamenti di dati personali:
a) effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
b) effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE;
c) effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;
d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse».
6 L’articolo 4 del RGPD, intitolato «Definizioni», così dispone:
«Ai fini del presente regolamento s’intende per:
(…)
2) “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
(…)
6) “archivio”: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
(…)».
7 Il capo II del RGPD, intitolato «Principi», contiene gli articoli da 5 a 11 di quest’ultimo.
8 L’articolo 5 del RGPD, intitolato «Principi applicabili al trattamento di dati personali», al paragrafo 1, così dispone:
«1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali (“limitazione della finalità”);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”);
(…)
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato (“limitazione della conservazione”);
(…)».
9 L’articolo 6 del RGPD, intitolato «Liceità del trattamento», al suo paragrafo 1, prevede quanto segue:
«1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.
2. Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX.
3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:
a) dal diritto dell’Unione; o
b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento.
La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell’Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito.
4. Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l’altro:
a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto;
b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento;
c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 10;
d) delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati;
e) dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione».
10 L’articolo 9 del RGPD intitolato «Trattamento di categorie particolari di dati personali», stabilisce quanto segue:
«1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
(…)
f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
(…)
3. I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.
4. Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute».
11 Il capo III del RGPD, intitolato «Diritti dell’interessato», comprende gli articoli da 12 a 23.
12 L’articolo 13 del RGPD, intitolato «Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato», prevede quanto segue:
«1. In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, paragrafo 1, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili.
2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:
a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
c) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
d) il diritto di proporre reclamo a un’autorità di controllo;
e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
3. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2.
4. I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l’interessato dispone già delle informazioni».
13 L’articolo 17 del RGPD, intitolato «Diritto alla cancellazione (“diritto all’oblio”)», così dispone:
«1. L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
(…)
b) l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
(…)
d) i dati personali sono stati trattati illecitamente;
(…).
3. I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario:
(…)
e) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria».
14 L’articolo 23 del RGPD, intitolato «Limitazioni», così recita:
«1. Il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:
(…)
e) altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro (…)
f) la salvaguardia dell’indipendenza della magistratura e dei procedimenti giudiziari;
(…)
i) la tutela dell’interessato o dei diritti e delle libertà altrui;
j) l’esecuzione delle azioni civili.
2. In particolare qualsiasi misura legislativa di cui al paragrafo 1 contiene disposizioni specifiche riguardanti almeno, se del caso:
a) le finalità del trattamento o le categorie di trattamento;
b) le categorie di dati personali;
c) la portata delle limitazioni introdotte;
d) le garanzie per prevenire abusi o l’accesso o il trasferimento illeciti;
e) l’indicazione precisa del titolare del trattamento o delle categorie di titolari;
f) i periodi di conservazione e le garanzie applicabili tenuto conto della natura, dell’ambito di applicazione e delle finalità del trattamento o delle categorie di trattamento;
g) i rischi per i diritti e le libertà degli interessati; e
h) il diritto degli interessati di essere informati della limitazione, a meno che ciò possa compromettere la finalità della stessa».
Diritto tedesco
Legge fondamentale della Repubblica federale di Germania
15 L’articolo 92 del Grundgesetz für die Bundesrepublik Deutschland (Legge fondamentale della Repubblica federale di Germania), del 23 maggio 1949 (BGBl. 1949 I, pag. 1) è del seguente tenore:
«Il potere di rendere giustizia è affidato ai giudici; esso è esercitato dal Bundesverfassungsgericht (Corte costituzionale federale, Germania), dalle corti federali previste dalla presente Legge fondamentale e dai tribunali dei Länder».
Codice di procedura civile
16 L’articolo 138 della Zivilprozessordnung (codice di procedura civile), nella versione applicabile al procedimento principale, intitolato «Obbligo di spiegare i fatti; obbligo di verità», prevede quanto segue:
«(1) Le parti devono rendere le loro dichiarazioni sulle circostanze di fatto in modo completo e veritiero.
(2) Ciascuna parte è tenuta a presentare osservazioni sui fatti addotti dalla controparte.
(3) I fatti non espressamente contestati si considerano ammessi, a meno che l’intenzione di contestarli non risulti dalle altre dichiarazioni rese dalla parte.
(4) Una dichiarazione di non conoscenza è ammissibile solo in relazione a fatti che non costituiscano atti propri della parte né siano stati oggetto della sua propria cognizione».
17 L’articolo 286 di tale codice, intitolato «Libera valutazione delle prove», prevede quanto segue:
«(1) Tenuto conto di tutte le discussioni e conclusioni di un’eventuale istruttoria, il giudice decide liberamente, secondo il proprio convincimento, se un’affermazione di fatto debba essere considerata vera o falsa. Esso indica nella sua decisione i motivi che giustificano il suo convincimento.
(2) Il giudice è vincolato alle norme di legge in materia di prova solo nei casi previsti dalla presente legge».
18 L’articolo 355 di detto codice, intitolato «Immediatezza dell’acquisizione della prova», è così formulato:
«(1) L’istruttoria ha luogo dinanzi al giudice di merito. Essa può essere affidata a un membro di tale organo giurisdizionale o a un altro organo giurisdizionale solo nei casi previsti dalla presente legge.
(2) La decisione che dispone l’uno o l’altro mezzo di acquisizione della prova non è impugnabile».
Legge federale sulla protezione dei dati
19 L’articolo 3 del Bundesdatenschutzgesetz (legge federale sulla protezione dei dati), del 30 giugno 2017 (BGBl. 2017 I, pag. 2097), nella versione applicabile alla controversia nel procedimento principale, intitolato «Trattamento di dati personali da parte delle autorità pubbliche», prevede quanto segue:
«Il trattamento di dati personali da parte di un ente pubblico è autorizzato se è necessario per l’esecuzione di un compito connesso alla competenza del titolare del trattamento o all’esercizio di pubblici poteri di cui quest’ultimo è investito.
(…)».
20 L’articolo 26 della legge federale sulla protezione dei dati, nella versione applicabile alla controversia nel procedimento principale intitolato «Trattamento dei dati ai fini del rapporto di lavoro», prevede quanto segue:
«(1) I dati personali dei dipendenti possono essere trattati per esigenze connesse al rapporto di lavoro qualora ciò sia necessario ai fini della decisione sulla costituzione di un rapporto di lavoro o, successivamente ad essa, della sua esecuzione o cessazione, oppure per l’esercizio dei diritti o il rispetto degli obblighi rispettivamente connessi alla rappresentanza degli interessi dei dipendenti stabiliti dalla legge o da contratti collettivi, da accordi aziendali o di servizio (accordo collettivo). Ai fini dell’accertamento di reati, i dati personali dei dipendenti possono essere trattati a condizione che sussista un sospetto fondato su indizi concreti, da comprovare, che l’interessato abbia commesso un reato nell’ambito del rapporto di lavoro, che il trattamento sia necessario per individuare il reato e che non prevalga il legittimo interesse del dipendente o dei dipendenti ad escludere il trattamento e, in particolare, che la natura e la portata del trattamento non siano sproporzionate rispetto ai motivi che ne sono alla base.
(2) Quando il trattamento dei dati personali dei dipendenti è effettuato sulla base di un consenso, per valutare se il consenso sia stato prestato liberamente occorre tener conto, in particolare, della dipendenza del dipendente nel rapporto di lavoro nonché delle circostanze in cui il consenso è stato prestato. Il carattere libero del consenso può ritenersi accertato segnatamente se esiste, per il dipendente, un vantaggio giuridico o economico, o se il datore di lavoro e il dipendente hanno interessi convergenti. Il consenso deve essere espresso per iscritto o per via elettronica, a meno che circostanze particolari non richiedano un’altra forma. Il datore di lavoro è tenuto a informare il dipendente per iscritto della finalità del trattamento dei dati e del suo diritto di revocare il proprio consenso, come previsto dall’articolo 7, paragrafo 3, del [RGPD].
(…)
(5) Il titolare del trattamento deve adottare misure appropriate per garantire il rispetto, in particolare, dei principi applicabili al trattamento di dati personali, stabiliti all’articolo 5 del [RGPD].
(6) I diritti di partecipazione delle organizzazioni rappresentative dei dipendenti restano invariati.
(7) I paragrafi da 1 a 6 si applicano anche quando dati personali, ivi comprese le categorie particolari di dati personali, dei dipendenti sono trattati senza essere contenuti o destinati ad essere contenuti in un archivio.
(8) Sono considerati “dipendenti”, ai sensi della presente legge:
1. I lavoratori, ivi compresi i lavoratori interinali nel rapporto con l’utilizzatore;
(…)».
Procedimento principale e questioni pregiudiziali
21 La NTH, un’impresa di riscaldamento e di condizionamento dell’aria, ha impiegato EM, la quale era sposata con l’amministratore della NTH.
22 Il 31 ottobre 2019 è terminato il rapporto di lavoro tra la NTH e EM. Successivamente, e fino alla sua separazione dall’amministratore della NTH avvenuta il 26 giugno 2022, EM ha continuato ad avere accesso ai locali della NTH e ad utilizzare i computer che vi si trovavano.
23 Immediatamente dopo tale separazione, agendo essenzialmente tramite il suo dipendente F., che è figlio dell’amministratore della NTH e di EM, la NTH ha accertato che EM aveva venduto per proprio conto, tramite la piattaforma di vendita online eBay, beni di cui la NTH rivendica la proprietà, per un valore complessivo alla rivendita di EUR 13 217,09. Tenuto conto del prezzo di acquisto di tali beni e dell’importo dei costi amministrativi derivanti dalla necessità di sostituirli, l’importo totale del danno in tal modo subito dalla NTH ammonterebbe a EUR 46 567,91.
24 EM contesta di aver venduto detti beni all’insaputa della NTH. Infatti, questi ultimi sarebbero stati principalmente beni resi dai clienti oppure beni difettosi o obsoleti che la NTH non avrebbe potuto utilizzare e che non avrebbero quindi più avuto valore per quest’ultima. La NTH li avrebbe ceduti a titolo gratuito a EM, che li avrebbe venduti per coprire le spese del nucleo familiare che formava con l’amministratore della NTH.
25 Il Landesarbeitsgericht Niedersachsen (Tribunale superiore del lavoro della Bassa Sassonia, Germania), giudice del rinvio, precisa che la NTH è venuta a conoscenza delle vendite realizzate da EM accedendo all’account privato di quest’ultima sulla piattaforma di vendita online eBay. A tal fine, il dipendente F. ha utilizzato il nome utente e la password di EM su tale piattaforma di vendita.
26 Per quanto riguarda il modo in cui il suddetto dipendente è venuto a conoscenza di tale nome utente e di tale password, l’amministratore della NTH afferma che il dipendente F. ha ottenuto informazioni sull’uso di detta piattaforma da parte di EM consultando la cronologia di navigazione del computer appartenente a NTH, utilizzato da EM e di aver avuto conoscenza di detta password consultando una «cartella familiare» creata sul suo server. Quanto a EM, essa afferma di non aver memorizzato la stessa password nei dispositivi di archiviazione dei dati della NTH. Essa sostiene invece che l’amministratore della NTH ha dichiarato lo smarrimento del telefono cellulare registrato a nome dell’impresa, che essa utilizzava, per poter richiedere una nuova carta SIM (Subscriber Identity Module, modulo d’identità dell’abbonato) all’operatore telefonico interessato, il che gli avrebbe consentito di utilizzare il numero di telefono associato a tale telefono per modificare, sulla stessa piattaforma, la password del suo account privato e accedervi.
27 Il giudice del rinvio non esclude che la raccolta di dati effettuata dalla NTH per conoscere le vendite effettuate da EM sulla piattaforma di vendita online eBay sia avvenuta in modo illecito.
28 In ogni caso, tale giudice afferma di essere propenso a ritenere che i dati raccolti dalla NTH costituiscano un trattamento di dati, ai sensi del RGPD.
29 Tuttavia, secondo detto giudice, la giurisprudenza della Corte non consente di determinare con chiarezza, anzitutto, se le norme del diritto processuale tedesco siano sufficientemente precise per soddisfare i requisiti del RGPD, in particolare per quanto riguarda i criteri da applicare per determinare in quali circostanze l’utilizzo di tali dati sia vietato, poi, se i giudici tedeschi possano basarsi sull’articolo 17, paragrafo 3, lettera e), del RGPD nell’esercizio della loro funzione giurisdizionale per trattare tali dati e, infine, secondo quali criteri occorra valutare circostanziatamente se il trattamento di dati effettuato nell’esercizio di tale funzione sia autorizzato, in particolare quando, come nel caso di specie, i dati potrebbero essere stati raccolti illecitamente da una parte.
30 Il giudice del rinvio rileva segnatamente, in primo luogo, che, in forza dell’articolo 6, paragrafo 3, primo comma, del RGPD, in mancanza di disposizioni del diritto dell’Unione, la base del trattamento di cui al paragrafo 1, primo comma, lettere c) ed e), di tale articolo è stabilita dal diritto dello Stato membro cui è soggetto il titolare di tale trattamento e che, secondo la lettura data da tale giudice al secondo comma del suddetto articolo 6, paragrafo 3, deve definire le finalità di detto trattamento. Inoltre, a parere di detto giudice, dalla giurisprudenza della Corte derivante dalla sentenza del 24 febbraio 2022, Valsts ieņēmumu dienests (Trattamento dei dati personali a fini fiscali) (C‑175/20, EU:C:2022:124, punto 83), emerge che, per soddisfare il requisito della proporzionalità, di cui l’articolo 5, paragrafo 1, lettera c), del RGPD costituisce un’espressione specifica, la normativa su cui si fonda il medesimo trattamento deve prevedere norme chiare e precise che disciplinino la portata nonché l’applicazione della misura in questione e impongano requisiti minimi e, in particolare, deve indicare in quali circostanze e a quali condizioni una misura che prevede un siffatto trattamento possa essere adottata.
31 Pertanto, il giudice del rinvio si chiede se l’articolo 6, paragrafo 3, secondo comma, del RGPD debba essere interpretato nel senso che, quando un giudice adotta, nell’esercizio della sua funzione giurisdizionale, un atto che comporta un’ingerenza nei diritti fondamentali di una parte e procede al relativo trattamento di dati, è sufficiente che tale trattamento sia necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, o se occorra, tenuto conto, in particolare, dell’articolo 8, paragrafo 2, della Carta, esigere che la base giuridica di detto trattamento contenga precisazioni relative alle circostanze e alle condizioni in cui i dati prodotti dalle parti possono essere utilizzati da tale giudice.
32 Nel caso in cui la Corte giungesse alla conclusione che gli atti giurisdizionali di trattamento di dati, che comportano violazioni di diritti fondamentali, devono essere fondati su disposizioni di legge contenenti siffatte precisazioni, il giudice del rinvio chiede se norme nazionali, come quelle in esame nel procedimento principale, soddisfino i requisiti enunciati dal RGPD. Infatti, tali norme non forniscono alcuna indicazione sulle condizioni che devono essere soddisfatte, né sui criteri che devono essere contemperati, per stabilire se sia consentito ad un’autorità giurisdizionale tenere conto degli elementi di fatto che una parte deduce o amministrare i mezzi di prova dalla stessa dedotti. In particolare, il giudice del rinvio si interroga sull’impatto dell’assenza di disposizioni che disciplinino i casi in cui la parte interessata abbia ottenuto illecitamente i dati personali su cui si basa, o i casi in cui essa si basi su prove ottenute mediante l’uso illecito di dati personali. Esso si interroga altresì sull’impatto del carattere esclusivamente giurisprudenziale di norme che disciplinano, nel diritto tedesco, l’uso di tali dati.
33 In secondo luogo, il giudice del rinvio rileva che, nella sua giurisprudenza, il Bundesarbeitsgericht (Corte federale del lavoro, Germania) ha indicato che dall’articolo 17 del RGPD risultava chiaramente che il trattamento di dati personali da parte di un giudice è ipotizzabile, anche ove la raccolta di tali dati, effettuata da una parte in una fase precontenziosa o stragiudiziale, si riveli illecita in forza del RGPD o del diritto nazionale in materia di protezione dei dati considerato e che, di conseguenza, non occorreva sottoporre alla Corte una domanda di pronuncia pregiudiziale.
34 Tuttavia, sebbene l’articolo 17, paragrafo 3, lettera e), del RGPD preveda un’eccezione al diritto alla cancellazione dei dati trattati illecitamente, e ciò nei limiti in cui tale trattamento sia «necessario» per accertare, esercitare o difendere un diritto in sede giudiziaria, tale disposizione riguarderebbe solo tale diritto alla cancellazione.
35 In ogni caso, il giudice del rinvio ritiene che occorra chiedersi se l’articolo 6, paragrafo 1, lettera e), o l’articolo 9, paragrafo 2, lettera f), del RGPD costituiscano il fondamento dei trattamenti di dati personali effettuati dai giudici nazionali nell’esercizio delle loro funzioni giurisdizionali o se questi ultimi possano anche fondarsi sull’articolo 17, paragrafo 3, lettera e), del RGPD.
36 Nell’ipotesi in cui la Corte giungesse alla conclusione che l’articolo 17, paragrafo 3, lettera e), del RGPD può costituire un siffatto fondamento per il trattamento effettuato nell’esercizio della funzione giurisdizionale dei giudici nazionali, il giudice del rinvio si interroga sul modo in cui occorrerebbe applicare tale disposizione e se quest’ultima comporti un divieto di utilizzo dei dati, ad esempio, qualora la raccolta iniziale di dati non sia stata occultata e sia stata utilizzata per dimostrare la violazione intenzionale di un obbligo.
37 In terzo luogo, il giudice del rinvio si interroga sui criteri sostanziali che devono disciplinare le operazioni di trattamento di dati effettuate nell’esercizio di una funzione giurisdizionale.
38 In particolare, tale giudice si chiede, anzitutto, se, nel caso di dati ottenuti illecitamente, ma la cui autenticità ed esattezza materiale non sono contestate in quanto tali, i giudici nazionali debbano procedere a un controllo di proporzionalità e a un bilanciamento approfondito degli interessi in gioco. Si chiede altresì se tali giudici debbano valutare se occorra distinguere una situazione del genere da quella in cui l’altra parte contesta sia le modalità di acquisizione dei dati considerati, qualificandole come illecite, sia l’autenticità e/o esattezza materiale degli stessi.
39 Il giudice del rinvio sottolinea poi che EM non aveva più utilizzato da molto tempo il sistema informatico della NTH quando quest’ultima, ai fini del procedimento principale, ha acquisito alcuni dei dati ivi memorizzati. Inoltre, tale giudice rileva che l’articolo 5, paragrafo 1, lettera e), del RGPD prevede, in sostanza, che i dati personali possano essere conservati solo per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono trattati. Pertanto, esso si interroga sulle conseguenze da trarre, ai fini dell’applicazione di tale disposizione, dal fatto che tali dati erano stati raccolti molto tempo prima, o addirittura erano stati conservati per un lungo periodo e, infine, dal fatto che esistevano obblighi contrattuali di cancellazione che non sono stati rispettati.
40 Il giudice del rinvio si interroga inoltre sulla questione se sia sufficiente che una parte invochi un interesse generale alla prova o se il diritto dell’Unione non imponga di prendere in considerazione altri aspetti, da cui risulti che l’interesse all’acquisizione di prove merita tutela nonostante la lesione del diritto dell’altra parte.
41 Successivamente, tale giudice si interroga sulla possibilità per il datore di lavoro ricorrente, in una situazione come quella in esame nel procedimento principale, di far valere l’articolo 47, paragrafo 2, della Carta, al fine di giustificare la raccolta e il trattamento dei dati personali da esso effettuati, nonché sulle conseguenze da trarre dal fatto che tale datore di lavoro potrebbe non aver rispettato i suoi obblighi di informazione in forza dell’articolo 13 del RGPD.
42 Infine, detto giudice rileva che, al punto 55 della sentenza del 2 marzo 2023, Norra Stockholm Bygg (C‑268/21, EU:C:2023:145), la Corte ha dichiarato che, al fine di tener conto dell’articolo 5, paragrafo 1, del RGPD, e in particolare del principio di «minimizzazione dei dati», di cui alla lettera c) di tale disposizione, il giudice nazionale è tenuto a determinare se la divulgazione dei dati personali sia adeguata e pertinente al fine di garantire l’obiettivo perseguito dalle disposizioni del diritto nazionale applicabili e se tale obiettivo non possa essere raggiunto ricorrendo a mezzi di prova meno invasivi con riguardo alla protezione dei dati personali di un numero elevato di terzi, quali, ad esempio, l’audizione di testimoni selezionati. Esso si chiede quindi se tale soluzione sia applicabile al caso di specie, dal momento che, ad esempio, potrebbero essere interessati i dati degli acquirenti della piattaforma di vendita online eBay.
43 In tale contesto, il Landesarbeitsgericht Niedersachsen (tribunale superiore del lavoro del Land Bassa Sassonia) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se le disposizioni dell’articolo 92 del Grundgesetz (legge fondamentale della Repubblica federale di Germania), degli articoli 138, 286, 355 e seguenti d[el] codice di procedura civile [nella versione applicabile alla controversia nel procedimento principale] nel caso di un’attività autonoma di trattamento in sede giudiziaria rientrante nell’articolo 6, paragrafo 1, lettera e), nell’articolo 6, paragrafo 3, del [RGPD] soddisfano il requisito di determinatezza sancito dall’articolo 8, paragrafo 2, e dall’articolo 52, paragrafo 1, della [Carta], e dall’articolo 5, paragrafo 1, lettera c), RGPD, quando, con riguardo a una parte o a un terzo, la suddetta attività comporta un’ingerenza nei diritti fondamentali.
2) a) Se, nel trattamento dei dati, in particolare di dati personali, un giudice nazionale possa invocare il fatto che detto trattamento è consentito ai sensi dell’articolo 17, paragrafo 3, lettera e), RGPD, oppure se gli articoli 6 e 9 RGPD costituiscano la base esclusiva per un’attività di trattamento in sede giudiziaria.
b) Qualora l’articolo 17, paragrafo 3, lettera e), del RGPD possa costituire, in linea di principio, una base giuridica per un’attività di trattamento in sede giudiziaria:
aa) Se quanto precede si applichi anche ai casi in cui la raccolta iniziale di tali dati, effettuata da una parte processuale o da un terzo, abbia avuto luogo in modo illecito.
bb) Se il trattamento di dati raccolti inizialmente in modo illecito determini, in conformità al principio di correttezza generalmente applicabile [articolo 5, paragrafo 1, lettera a), RGPD], una limitazione del trattamento in sede giudiziaria in base al diritto derivato, nel senso che l’articolo 17, paragrafo 3, lettera e), RGPD è applicabile solo a determinate condizioni o entro certi limiti.
cc) Se la disposizione dell’articolo 17, paragrafo 3, lettera e), RGPD debba essere intesa nel senso che il divieto di utilizzazione in sede giudiziaria di dati ottenuti inizialmente in modo illecito viene sempre disapplicato – vale a dire che il giudice è sempre tenuto ad utilizzare tali dati – qualora la raccolta iniziale dei dati non abbia avuto luogo in maniera occulta e sia stata funzionale alla dimostrazione di una dolosa violazione di un obbligo.
3) Indipendentemente dal fatto che l’attività di trattamento dei dati in sede giudiziaria sia soggetta all’articolo 17, paragrafo 3, lettera e), RGPD o all’articolo 6, paragrafo 1, lettera c) o e), e paragrafo 3, all’articolo 9 RGPD oppure ad altre disposizioni del diritto dell’Unione:
a) Se dai principi di necessità e minimizzazione dei dati sanciti dalla normativa in materia di protezione dei dati possa desumersi, ai sensi dell’articolo 52, paragrafo 1, seconda frase, della Carta, e dell’articolo 5, paragrafo 1, lettera a), RGPD, in particolare per quanto riguarda il trattamento di dati raccolti o conservati inizialmente in modo illecito, la necessità di un controllo completo di proporzionalità e di un bilanciamento da parte dei giudici.
b) Quali effetti abbia l’articolo 5, paragrafo 1, lettera e), RGPD, secondo cui i dati personali possono essere conservati solo per il tempo richiesto dalla loro finalità, sulla successiva attività di trattamento in sede giudiziaria, in particolare nei casi in cui
– la raccolta iniziale dei dati fosse diretta ad altre finalità, o
– la raccolta iniziale illecita dei dati sia molto risalente nel tempo, o
– la conservazione illecita si sia protratta nel tempo, o
– la raccolta illecita di dati riguardi dati conservati da molto tempo, eventualmente in modo illecito, o
– l’ente o la persona che tratta o raccoglie i dati abbia assunto l’obbligo unilaterale o fondato su un contratto individuale o collettivo di cancellare i dati entro un certo periodo di tempo, ma non abbia però effettuato la cancellazione.
c) Se dal diritto dell’Unione, in particolare dall’articolo 8 della Carta, dall’articolo 6, paragrafo 1, lettera c) o e), e paragrafo 3, e dall’articolo 9 RGPD, risulti che il giudice nazionale può utilizzare prove ottenute in violazione dei diritti della personalità soltanto in presenza di un interesse apprezzabile della parte gravata dall’onere della prova che vada al di là del mero interesse alla prova, oppure se dal diritto dell’Unione non deriva alcuna indicazione al riguardo, sicché spetta all’ordinamento giuridico nazionale prevedere apposite disposizioni.
d) Se dall’articolo 47, paragrafo 2, della Carta, che garantisce il diritto a un ricorso giurisdizionale effettivo e, in particolare, a un equo processo, in virtù del quale le parti in un procedimento civile devono essere, in linea di principio, in grado di motivare sufficientemente l’obiettivo del loro ricorso e corroborarlo con prove, discenda che il trattamento in sede giudiziaria dei dati personali del lavoratore ricorrente raccolti illecitamente dal datore di lavoro può essere inadeguato e sproporzionato in senso stretto, soltanto laddove la raccolta dei dati costituisca, in base al diritto dell’Unione, una grave violazione dell’articolo 7 e dell’articolo 8 della Carta e le altre possibili sanzioni applicabili al datore di lavoro (ad esempio, il risarcimento dei danni ai sensi dell’articolo 82 RGPD e l’imposizione di sanzioni pecuniarie ai sensi dell’articolo 83 RGPD) sarebbero del tutto insufficienti, oppure se l’inadeguatezza e la sproporzione possano ravvisarsi anche con riguardo ad altre violazioni meno gravi della normativa in materia di protezione dei dati commesse all’atto della raccolta iniziale dei dati.
e) Se, nella decisione circa l’utilizzazione, nell’ambito della sua attività di trattamento dei dati in sede giudiziaria, dei dati inizialmente raccolti da una parte o da un terzo, il giudice debba o meno prendere in considerazione il fatto che il soggetto che ha raccolto tali dati abbia ottemperato agli obblighi di fornire informazioni che gli incombono in forza dell’articolo 13 RGPD. In caso affermativo, a quali condizioni e in base a quali criteri il giudice ne debba tener conto.
f) Se la circostanza che il giudice sia vincolato dal RGPD e dalla [Carta] nel trattamento dei dati personali consenta l’inclusione anche dei dati personali di terzi. In che modo un’eventuale violazione della normativa in materia di protezione dei dati nei confronti di terzi all’atto della raccolta iniziale dei dati incida sul successivo trattamento dei dati in sede giudiziaria in una controversia tra due parti. Se una parte possa o meno lamentare una violazione che non si è verificata nei suoi confronti, bensì nei confronti di terzi».
Sulle questioni pregiudiziali
Sulla ricevibilità
44 In via preliminare, occorre ricordare che, sebbene, per giurisprudenza costante, le questioni relative all’interpretazione del diritto dell’Unione sollevate dal giudice nazionale nel contesto di diritto e di fatto che egli individua sotto la propria responsabilità, e del quale non spetta alla Corte verificare l’esattezza, godano di una presunzione di rilevanza, siffatte questioni sono invece irricevibili qualora appaia in modo manifesto che l’interpretazione del diritto dell’Unione richiesta non ha alcun rapporto con la realtà effettiva o con l’oggetto del procedimento principale, qualora il problema sollevato sia di natura ipotetica o, ancora, qualora la Corte non disponga degli elementi di fatto e di diritto necessari per fornire una soluzione utile alle questioni che le vengono sottoposte [v., in tal senso, sentenza del 18 giugno 2024, Bundesrepublik Deutschland (Effetto di una decisione di riconoscimento dello status di rifugiato), C‑753/22, EU:C:2024:524, punto 44 e giurisprudenza citata].
45 Nel caso di specie, occorre rilevare che, nelle sue questioni, il giudice del rinvio fa più volte riferimento all’articolo 9 del RGPD, il quale riguarda talune categorie particolari di dati personali, vale a dire quelli che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, nonché i dati genetici e i dati biometrici, nei limiti in cui siano trattati al fine di identificare in modo univoco una persona fisica, o anche i dati relativi alla salute o quelli relativi alla vita sessuale o all’orientamento sessuale di una persona fisica.
46 Orbene, siccome dal fascicolo di cui dispone la Corte risulta che la controversia nel procedimento principale non riguarda tali dati, le questioni pregiudiziali sottoposte dal giudice del rinvio devono essere considerate irricevibili nella parte in cui vertono sull’interpretazione dell’articolo 9 del RGPD.
Sulla prima questione
47 In via preliminare, occorre rilevare che la questione sollevata poggia sulla premessa secondo cui i trattamenti di dati personali effettuati da un giudice nell’esercizio della sua funzione giurisdizionale possono essere fondati solo sull’articolo 6, paragrafo 1, lettera e), del RGPD, il quale riguarda i trattamenti di dati personali necessari per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.
48 Orbene, da un lato, va rilevato che, in talune situazioni, più condizioni alternative di liceità possono applicarsi ad uno stesso trattamento.
49 D’altro lato, sebbene taluni trattamenti di dati personali effettuati da un giudice possano essere considerati necessari per l’esecuzione di un siffatto compito di interesse pubblico o connesso all’esercizio di siffatti poteri, i trattamenti di dati personali che un giudice può effettuare, come nel procedimento principale, in occasione dei mezzi di prova dedotti dalle parti presentano la specificità di essere, in linea di principio, necessari per ottemperare ad un obbligo legale incombente a tale giudice, vale a dire quello di statuire sull’ammissibilità di tali mezzi di prova dedotti e, qualora questi ultimi siano stati dichiarati ammissibili in base ai criteri previsti a tal fine dal diritto nazionale, quello di tenerne conto per emanare la propria decisione.
50 Pertanto, la Corte ritiene che, al fine di fornire una risposta utile al giudice del rinvio, occorra esaminare le diverse questioni, che le sono state sottoposte nella presente causa, tenendo conto dell’articolo 6, paragrafo 1, lettera c), del RGPD, piuttosto che tenendo conto dell’articolo 6, paragrafo 1, lettera e), di tale regolamento.
51 In tali circostanze, si deve considerare che, con la sua prima questione, il giudice del rinvio chiede, in sostanza, se l’articolo 6, paragrafo 1, primo comma, lettera c), e paragrafo 3, del RPGD, letto alla luce dell’articolo 8, paragrafo 2, e dell’articolo 52 della Carta, debba essere interpretato nel senso che esso osta a una normativa nazionale che, per quanto riguarda l’utilizzo di dati personali nell’ambito dell’esame dei fatti e dell’acquisizione di prove da parte di un giudice, si limiti a prevedere che spetta alle parti presentare elementi di fatto circostanziati e veritieri nonché ad imporre a tale giudice di prenderli pienamente in considerazione, prima, se del caso, di effettuarne una valutazione, senza fornire indicazioni sulle circostanze e sulle condizioni in cui i fatti riferiti e le prove dedotte dalle parti contenenti dati personali possono essere utilizzati da detto giudice.
52 In primo luogo, occorre ricordare che, certamente, allo stato attuale del diritto dell’Unione, spetta unicamente al diritto nazionale determinare le norme relative all’ammissibilità e alla valutazione degli elementi di fatto e di prova (v., in tal senso, sentenze del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 223, nonché del 5 aprile 2022, Commissioner of An Garda Síochána e a., C‑140/20, EU:C:2022:258, punto 127).
53 Tuttavia, in forza dell’articolo 2, paragrafo 1, del RGPD, quest’ultimo si applica a qualsiasi «trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi», fatte salve talune ipotesi previste all’articolo 2, paragrafi 2 e 3, di tale regolamento. Orbene, dal momento che i trattamenti effettuati da giudici e altre autorità giudiziarie non fanno parte delle ipotesi previste dal summenzionato articolo 2, paragrafi 2 e 3, detto regolamento può quindi essere applicato, come conferma peraltro il suo considerando 20, ai trattamenti effettuati da tali giudici e tali autorità giudiziarie.
54 A tal riguardo, l’articolo 4, punto 2, del RGPD, definisce la nozione di «trattamento» come qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
55 L’impiego, in tale occasione, dell’espressione «qualsiasi operazione» implica che il legislatore dell’Unione ha inteso attribuire alla nozione di «trattamento» una portata ampia (sentenza del 5 dicembre 2023, Nacionalinis visde enės sveikatos centras, C‑683/21, EU:C:2023:949, punto 50 e giurisprudenza citata).
56 Certamente, affinché un trattamento di dati personali rientri nell’ambito di applicazione del RGPD, occorre anche, conformemente all’articolo 2, paragrafo 1, di detto regolamento, che tale trattamento sia interamente o parzialmente automatizzato o, quando il trattamento non è automatizzato, che i dati considerati siano contenuti in un archivio o destinati a figurarvi.
57 Orbene, da un lato, un trattamento di dati personali deve essere considerato interamente o parzialmente automatizzato, ai sensi di tale disposizione, quando implica il ricorso ad operazioni tecniche senza alcun intervento umano (v., in tal senso e per analogia, sentenza del 6 novembre 2003, Lindqvist, C‑101/01, EU:C:2003:596, punto 26).
58 Dall’altro, l’articolo 4, punto 6, del RGDP definisce la nozione di «archivio» come qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico.
59 Tuttavia, anche se l’ammissibilità dei mezzi di prova dedotti non rientra nell’ambito di applicazione del RGPD, si deve ritenere che un giudice effettui un trattamento di dati personali, ai sensi di tale regolamento, in particolare quando versa documenti contenenti dati personali in un fascicolo, come quello del procedimento principale, purché quest’ultimo rientri nella nozione di «archivio» ai sensi dell’articolo 2, paragrafo 1, e dell’articolo 4, punto 6, del RGPD.
60 Analogamente, qualora tali documenti siano comunicati a un giudice in forma dematerializzata e tale giudice consulti, estragga, conservi o utilizzi tali dati, esso effettua un trattamento, ai sensi del RGPD.
61 In particolare, posto che ogni trasmissione di dati a un titolare del trattamento distinto dal precedente comporta correlativamente un atto di raccolta da parte di quest’ultimo [v., in tal senso, sentenza del 30 aprile 2024, La Quadrature du Net e a. (Dati personali e lotta alla contraffazione), C‑470/21, EU:C:2024:370, punto 62], si deve ritenere che un giudice realizzi un siffatto atto di raccolta quando raccoglie, sulla base di documenti dematerializzati che gli sono stati trasmessi da una parte, determinati dati personali contenuti in detti documenti.
62 Nel caso di specie, spetterà al giudice del rinvio verificare, tenuto conto delle considerazioni che precedono, se si può considerare che i trattamenti di dati personali in esame nel procedimento principale rientrino nell’ambito di applicazione del RGPD, vuoi perché riguardano dati destinati ad essere accessibili in base al fascicolo processuale di tale causa secondo determinati criteri, vuoi perché sono interamente o parzialmente automatizzati, il che avviene segnatamente quando la trasmissione delle prove ha luogo in forma dematerializzata e detti trattamenti consistevano nel consultare, estrarre, conservare o utilizzare dati personali in base a tali prove.
63 In secondo luogo, occorre rilevare che l’obiettivo principale perseguito dal RGPD, quale risulta segnatamente dall’articolo 1 di quest’ultimo, nonché dai considerando 1, 2, 7 e 10 di tale regolamento, consiste nel garantire un livello elevato di protezione dei diritti e delle libertà fondamentali delle persone fisiche, in particolare del loro diritto alla tutela della vita privata con riguardo al trattamento dei dati personali, sancito all’articolo 8, paragrafo 1, della Carta e all’articolo 16, paragrafo 1, TFUE (v., in tal senso, sentenza del 4 ottobre 2024, Koninklijke Nederlandse Lawn Tennisbond, C‑621/22, EU:C:2024:858, punto 26 e giurisprudenza citata).
64 Conformemente a tale obiettivo, per essere lecito, qualsiasi trattamento di dati personali rientrante nell’ambito di applicazione del RGPD deve rispettare i principi enunciati al capo II di tale regolamento, nonché i diritti degli interessati enunciati al capo III del medesimo regolamento (v., in tal senso, sentenza del 2 marzo 2023, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, punto 43 e giurisprudenza citata).
65 Ai sensi dell’articolo 6, paragrafo 1, primo comma, del RGPD, un trattamento di dati personali rientrante nell’ambito di applicazione di tale regolamento è lecito solo se, e nella misura in cui, rientra in almeno una delle condizioni alternative di liceità enunciate in tale disposizione [v., in tal senso, sentenza del 5 giugno 2023, Commissione/Polonia (Indipendenza e vita privata dei giudici), C‑204/21, EU:C:2023:442, punto 335 e giurisprudenza citata].
66 Orbene, per quanto riguarda un trattamento fondato sulla condizione alternativa di liceità prevista all’articolo 6, paragrafo 1, primo comma, lettera c), del RGPD, l’articolo 6, paragrafo 3, primo comma, del RGPD precisa che la base di tale trattamento deve essere stabilita dal diritto dell’Unione o dal diritto dello Stato membro cui è soggetto il titolare di detto trattamento.
67 Pertanto, l’articolo 6, paragrafo 3, primo comma, del RGPD richiede, dal momento che il diritto dell’Unione non disciplina le modalità di esposizione dei fatti e di acquisizione delle prove dinanzi ai giudici nazionali, che un trattamento di dati personali, effettuato sulla base di questa condizione alternativa di liceità, abbia una base giuridica nel diritto nazionale (v., in tal senso, sentenza del 2 marzo 2023, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, punto 32).
68 Per quanto riguarda la forma e il contenuto che tale base giuridica deve rivestire, fatti salvi i requisiti connessi all’ipotesi di cui alla terza frase dell’articolo 6, paragrafo 3, del RGPD, tale disposizione si limita ad esigere, per quanto riguarda i trattamenti di cui all’articolo 6, paragrafo 1, primo comma, lettera c), di tale regolamento, che le finalità di detti trattamenti siano definite in detta base giuridica, che questa stessa base giuridica risponda a un obiettivo di interesse pubblico e sia proporzionata a tale obiettivo.
69 Per contro, dall’articolo 6, paragrafo 3, del RGPD o da un’altra disposizione di tale regolamento non risulta che l’obiettivo perseguito dalla base giuridica nel diritto nazionale debba essere enunciato da quest’ultima, fermo restando che occorre intendere, per «obiettivo», le finalità generali perseguite dal trattamento considerato e, per «finalità», i fini specifici e concreti di tale trattamento [v., in tal senso, sentenza del 20 novembre 2025, Policejní prezidium (Conservazione di dati biometrici e genetici), C‑57/23, EU:C:2025:905, punto 81].
70 Certamente, quando il legislatore di uno Stato membro adotta una base giuridica che autorizza trattamenti fondati sull’articolo 6, paragrafo 1, primo comma, lettera c), del RGPD, tale legislatore attua il diritto dell’Unione sicché, in forza dell’articolo 51 della Carta, la predetta base giuridica deve essere conforme alla Carta.
71 Orbene, come sottolineato dal giudice del rinvio, la Corte ha desunto dall’articolo 8, paragrafo 2, della Carta, che a sua volta si limita a riflettere, concretizzandolo, il requisito posto dall’articolo 52 della Carta secondo cui eventuali limitazioni all’esercizio dei diritti fondamentali riconosciuti da quest’ultima devono in particolare essere previste dalla legge [v., in tal senso, sentenza del 20 novembre 2025, Policejní prezidium (Conservazione di dati biometrici e genetici), C‑57/23, EU:C:2025:905, punto 51], che qualsiasi base giuridica che consenta l’ingerenza nel diritto alla protezione dei dati personali deve definire essa stessa la portata della limitazione dell’esercizio di tale diritto che essa può comportare (v., in tal senso, sentenza del 6 ottobre 2020, Privacy International, C‑623/17, EU:C:2020:790, punto 65 e giurisprudenza citata).
72 Inoltre, la Corte ha dichiarato, per quanto riguarda il requisito posto dall’articolo 52 della Carta, che qualsiasi ingerenza nel diritto alla protezione dei dati personali deve essere operata nel rispetto del principio di proporzionalità, il che richiede che qualsiasi normativa che determini una siffatta ingerenza stabilisca regole chiare e precise che disciplinino la portata e l’applicazione della misura in questione e fissino requisiti minimi, di modo che le persone i cui dati personali siano stati trattati dispongano di garanzie sufficienti, che consentano di proteggere efficacemente tali dati contro i rischi di abuso, nonché contro qualsiasi accesso e utilizzo illecito di tali dati [v., in tal senso, sentenze del 24 febbraio 2022, Valsts ieņēmumu dienests (Trattamento dei dati personali a fini fiscali), C‑175/20, EU:C:2022:124, punto 55, nonché giurisprudenza citata, e del 16 novembre 2023, Roos e a./Parlamento, C‑458/22 P, EU:C:2023:871, punto 69 e giurisprudenza citata].
73 In particolare, la base giuridica di un trattamento di dati deve indicare in quali circostanze e a quali condizioni possa essere adottata una misura che preveda il trattamento di tali dati, garantendo così che l’ingerenza sia limitata allo stretto necessario (v., in tal senso, sentenza del 16 luglio 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559, punto 176 e giurisprudenza citata).
74 Tuttavia, la Corte, facendo riferimento a una giurisprudenza costante della Corte europea dei diritti dell’uomo, ha altresì precisato che il termine «legge», utilizzato all’articolo 8, paragrafo 2, della Carta, nell’espressione «fondamento previsto dalla legge», deve essere inteso nella sua accezione sostanziale e non formale (v., in tal senso, sentenza del 16 novembre 2023, Roos e a./Parlamento, C‑458/22 P, EU:C:2023:871, punto 61 e giurisprudenza citata).
75 Inoltre, secondo tale giurisprudenza della Corte europea dei diritti dell’uomo, detta accezione del termine «legge», nell’espressione «prevista dalla legge», di cui all’articolo 8, paragrafo 2, della CEDU, implica che tale termine si riferisce al testo in vigore, come interpretato dagli organi giurisdizionali competenti (v., in tal senso, Corte EDU, 23 gennaio 2025, H.W. c. Francia, CE:ECHR:2025:0123JUD001380521, punto 65).
76 Peraltro, il considerando 41 del RGPD menziona espressamente che, quando tale regolamento fa riferimento a una base giuridica o a una misura legislativa, ciò non significa necessariamente che sia richiesta l’adozione di un atto legislativo da parte di un parlamento, fatti salvi gli obblighi previsti in forza dell’ordinamento costituzionale dello Stato membro interessato. Tuttavia, tale base giuridica o misura legislativa dovrebbe essere chiara e precisa, e la sua applicazione prevedibile per le persone che vi sono sottoposte, in conformità della giurisprudenza della Corte e della Corte europea dei diritti dell’uomo.
77 Pertanto, il requisito, enunciato all’articolo 6, paragrafo 3, del RGPD, di prevedere una base giuridica per qualsiasi trattamento fondato sulle condizioni alternative di liceità previste all’articolo 6, paragrafo 1, primo comma, lettere c) ed e), di tale regolamento, deve essere inteso nel senso che non implica necessariamente l’esistenza di un atto legislativo, in quanto la nozione di «diritto dello Stato membro cui è soggetto il titolare del trattamento» può comprendere anche la giurisprudenza nazionale, purché quest’ultima sia chiara e precisa e la sua applicazione sia prevedibile per le persone che vi sono sottoposte (v., in tal senso, sentenza del 12 settembre 2024, HTB Neunte Immobilien Portfolio e Ökorenta Neue Energien Ökostabil IV, C‑17/22 e C‑18/22, EU:C:2024:738, punti 71 e 72).
78 Inoltre, poiché l’articolo 6, paragrafo 3, secondo comma, del RGPD richiede che la base giuridica del trattamento in questione risponda a un obiettivo di interesse pubblico e sia proporzionata all’obiettivo legittimo perseguito, tale giurisprudenza deve altresì soddisfare siffatte condizioni (v., in tal senso, sentenza del 12 settembre 2024, HTB Neunte Immobilien Portfolio e Ökorenta Neue Energien Ökostabil IV, C‑17/22 e C‑18/22, EU:C:2024:738, punto 73 e giurisprudenza citata).
79 Nel caso di specie, dalla decisione di rinvio risulta che le disposizioni legislative di cui trattasi nel procedimento principale non prevedono le condizioni che devono essere soddisfatte affinché elementi di prova o fatti contenenti dati personali precedentemente trattati illecitamente siano considerati ammissibili. Pertanto, spetterà al giudice del rinvio, per assicurarsi che tali disposizioni siano conformi al RGPD, verificare che esse siano oggetto di una giurisprudenza chiara, precisa e di prevedibile applicazione, che stabilisca essa stessa le circostanze e le condizioni in cui i fatti riferiti e le prove dedotte dalle parti contenenti dati personali possono essere utilizzati da un giudice, che risponda a un obiettivo di interesse pubblico e sia proporzionata a quest’ultimo.
80 Tenuto conto di tutto quanto precede, occorre rispondere alla prima questione dichiarando che l’articolo 6, paragrafo 1, primo comma, lettera c), e paragrafo 3, del RPGD, letto alla luce dell’articolo 8, paragrafo 2, e dell’articolo 52 della Carta, deve essere interpretato nel senso che esso non osta a una normativa nazionale che, nel caso di un trattamento di dati personali effettuato nell’ambito dell’esame dei fatti e dell’acquisizione delle prove da parte di un giudice, si limiti a prevedere che spetti alle parti presentare elementi di fatto circostanziati e veritieri nonché ad imporre a tale giudice di prenderli pienamente in considerazione, prima, se del caso, di effettuarne una valutazione, senza contenere indicazioni sulle circostanze e sulle condizioni in cui i fatti riferiti e le prove dedotte dalle parti contenenti dati personali possano essere utilizzati da tale giudice, sempreché esista una giurisprudenza nazionale chiara, precisa e di prevedibile applicazione che stabilisca essa stessa le circostanze e le condizioni nelle quali i fatti riferiti e le prove dedotte dalle parti contenenti dati personali possono essere utilizzati da un giudice, e tale giurisprudenza risponda a un obiettivo di interesse pubblico e sia proporzionata a quest’ultimo.
Sulla seconda questione, lettera a)
81 Con la sua seconda questione, lettera a), il giudice del rinvio chiede, in sostanza, se l’articolo 17, paragrafo 3, lettera e), del RGPD debba essere interpretato nel senso che esso enuncia una condizione alternativa di liceità che un trattamento può soddisfare per essere conforme all’articolo 5, paragrafo 1, lettera a), di tale regolamento e che è distinta da una di quelle elencate all’articolo 6, paragrafo 1, primo comma, del RGPD.
82 Sul punto, occorre ricordare che, in forza dell’articolo 5, paragrafo 1, lettera a), del RGPD, qualsiasi trattamento di dati personali deve essere in particolare lecito, il che implica, come ricordato al punto 64 della presente sentenza, che tale trattamento sia conforme a tutti i principi enunciati al capo II del RGPD e rispetti i diritti degli interessati enunciati al capo III di quest’ultimo.
83 Tra tali principi, l’articolo 6, paragrafo 1, primo comma, del RGPD stila un elenco esaustivo e tassativo dei casi in cui un trattamento di dati personali può essere considerato lecito. Di conseguenza, affinché possa essere considerato tale, conformemente all’articolo 5, paragrafo 1, lettera a), del RGPD, un trattamento deve rientrare in uno dei casi previsti da tale articolo 6, paragrafo 1, primo comma [v., in tal senso, sentenza del 4 maggio 2023, Bundesrepublik Deutschland (Casella di posta elettronica giudiziaria), C‑60/22, EU:C:2023:373, punto 56 e giurisprudenza citata].
84 È vero che, in forza dell’articolo 17, paragrafo 3, lettera e), del RGPD, il diritto degli interessati di ottenere dal titolare del trattamento la cancellazione dei loro dati, in particolare, come risulta dall’articolo 17, paragrafo 1, lettera d), di tale regolamento, qualora questi ultimi siano stati trattati illecitamente, non si applica se tale trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria.
85 Tuttavia, il fatto che l’articolo 17, paragrafo 3, lettera e), del RGPD introduca un’eccezione a tale diritto alla cancellazione non implica che tale disposizione debba essere interpretata nel senso che essa enuncia, in quanto tale, una condizione alternativa di liceità autonoma sulla quale un trattamento di dati personali, che sia necessario per l’accertamento, l’esercizio o la difesa di diritti in sede giudiziaria, possa essere fondato per essere conforme all’articolo 5, paragrafo 1, lettera e), del RGPD. Infatti, poiché l’elenco delle condizioni alternative di liceità enunciate all’articolo 6, paragrafo 1, primo comma, del RGPD è esaustivo e tassativo, come risulta dal punto 83 della presente sentenza, la situazione di cui all’articolo 17, paragrafo 3, lettera c), di tale regolamento non può essere considerata una siffatta condizione alternativa di liceità.
86 Stante tutte le suesposte considerazioni, occorre rispondere alla seconda questione, lettera a), dichiarando che l’articolo 17, paragrafo 3, lettera e), del RGPD deve essere interpretato nel senso che tale disposizione non enuncia una condizione alternativa di liceità che un trattamento potrebbe soddisfare per essere conforme all’articolo 5, paragrafo 1, lettera a), del RGPD e che sia distinta da una di quelle elencate all’articolo 6, paragrafo 1, primo comma, del RGPD.
Sulla seconda questione, lettera b)
87 Tenuto conto della risposta fornita alla seconda questione, lettera a), non occorre rispondere alla seconda questione, lettera b).
Sulla terza questione, lettera a)
88 Anzitutto, occorre rilevare che il principio della «minimizzazione dei dati», sul quale verte esclusivamente la terza questione, lettera a), non è, come sembra ritenere il giudice del rinvio stante la formulazione di tale questione, enunciato all’articolo 5, paragrafo 1, lettera a), del RGPD, bensì all’articolo 5, paragrafo 1, lettera c), di tale regolamento.
89 Inoltre, dalla domanda di pronuncia pregiudiziale si evince che, quando menziona un controllo di proporzionalità del trattamento previsto e un «bilanciamento» esaustivo degli interessi in gioco, tale giudice si interroga sulla necessità, in forza dell’articolo 52, paragrafo 1, seconda frase, della Carta, di verificare, per ogni trattamento di dati personali effettuato, che i dati trattati in tale occasione siano idonei a consentire la realizzazione dell’obiettivo perseguito da tale trattamento, nonché strettamente necessari a tal fine, e che la gravità dell’ingerenza nei diritti fondamentali che comporta la presa in considerazione di tali dati al fine di realizzare il trattamento in questione sia in relazione con l’interesse che presenta, per il titolare del trattamento, il ricorso a tali dati per realizzare il predetto trattamento.
90 Di conseguenza, occorre intendere che, con la sua terza questione, lettera a), il giudice del rinvio chiede, in sostanza, se l’articolo 5, paragrafo 1, lettera c), del RGPD, in combinato disposto con l’articolo 52, paragrafo 1, seconda frase, della Carta, debba essere interpretato nel senso che il principio della «minimizzazione dei dati» richiede, per un giudice, di garantire il rispetto, per ogni trattamento di dati personali da esso effettuato, del principio di proporzionalità, assicurandosi che i dati trattati in tale occasione siano idonei a consentire la realizzazione dell’obiettivo perseguito da tale trattamento, nonché strettamente necessari a tal fine, e che la gravità dell’ingerenza nei diritti fondamentali che comporta la presa in considerazione di tali dati al fine di realizzare il trattamento in questione, sia in relazione con l’interesse che presenta, per tale giudice, il ricorso ai summenzionati dati per realizzare il trattamento in questione.
91 A tal riguardo, da un lato, come risulta dall’articolo 52, paragrafo 1, seconda frase, della Carta, affinché limitazioni all’esercizio dei diritti fondamentali garantiti da quest’ultima possano essere apportate nel rispetto del principio di proporzionalità, tali limitazioni devono essere necessarie e rispondere effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui.
92 Più specificamente, le deroghe alla protezione dei dati personali e le limitazioni di queste ultime operano entro i limiti dello stretto necessario, fermo restando che, qualora sia possibile una scelta fra più misure appropriate al soddisfacimento dei legittimi obiettivi perseguiti, si deve ricorrere alla meno restrittiva di esse. Inoltre, un obiettivo di interesse generale non può essere legittimamente perseguito senza tener conto del fatto che esso deve essere conciliato con i diritti fondamentali interessati dalla misura di cui trattasi, effettuando un contemperamento equilibrato tra l’obiettivo di interesse generale e i diritti interessati, al fine di garantire che gli inconvenienti causati da tale misura non siano sproporzionati rispetto agli scopi perseguiti. Così, la possibilità di giustificare una limitazione ai diritti garantiti dagli articoli 7 e 8 della Carta deve essere valutata misurando la gravità dell’ingerenza che una limitazione siffatta comporta, e verificando che l’importanza dell’obiettivo di interesse generale perseguito da tale limitazione sia adeguata a detta gravità (sentenza del 21 marzo 2024, Landeshauptstadt Wiesbaden, C‑61/22, EU:C:2024:251, punto 83 e giurisprudenza citata).
93 Di conseguenza, il rispetto del principio di proporzionalità richiede che possano essere apportate limitazioni a diritti fondamentali garantiti dalla Carta solo se, in primo luogo, la misura di cui trattasi persegue uno o più obiettivi di interesse generale riconosciuti dall’Unione ed è effettivamente idonea a consentire la realizzazione di tali obiettivi, in secondo luogo, se le ingerenze che ne derivano sono limitate allo stretto necessario, nel senso che detti obiettivi non potrebbero ragionevolmente essere conseguiti in modo altrettanto efficace con altri mezzi meno lesivi di tali diritti fondamentali delle persone interessate, e, in terzo luogo, se tali ingerenze non sono sproporzionate rispetto agli stessi obiettivi, il che implica, in particolare, una ponderazione di questi ultimi e della gravità di dette ingerenze (sentenza del 21 marzo 2024, Landeshauptstadt Wiesbaden, C‑61/22, EU:C:2024:251, punto 84 e giurisprudenza citata).
94 D’altro lato, l’articolo 5, paragrafo 1, lettera c), del RGPD, nel prevedere che i dati personali trattati debbano essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati, subordina il trattamento dei dati personali al rispetto del principio della «minimizzazione dei dati» [v., in tal senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità) (C‑439/19, EU:C:2021:504, punto 104).
95 Orbene, sebbene tale principio costituisca un’«espressione» del principio di proporzionalità [v., in tal senso, sentenza del 9 gennaio 2025, Mousse, C‑394/23, EU:C:2025:2, punto 24 e giurisprudenza citata], tale circostanza non implica tuttavia che la disposizione sopra citata attui, di per sé stessa, il principio di proporzionalità e, pertanto, le tre condizioni ricordate al punto 91 della presente sentenza.
96 A tal riguardo, occorre rilevare che i requisiti previsti all’articolo 5, paragrafo 1, lettera c), del RGPD e che sono sufficienti a giustificare che tale disposizione possa essere considerata espressione del principio di proporzionalità, sono idonei a garantire che la scelta di ricorrere a taluni dati piuttosto che ad altri soddisfi le prime due condizioni derivanti dal rispetto del medesimo principio.
97 Da un lato, dal significato stesso dei termini «adeguato» e «pertinente» emerge che, qualora i dati soddisfino questi due requisiti, essi sono idonei a conseguire le finalità del trattamento in questione e, a fortiori, a realizzare l’obiettivo di detto trattamento. D’altro lato, posto che tali dati sono limitati a quanto necessario con riguardo alle finalità per le quali sono trattati, essi lo sono anche con riguardo all’obiettivo più generale perseguito quando si è deciso di ricorrere a tali dati per effettuare il trattamento in questione.
98 Quanto alla terza condizione ricordata al punto 91 della presente sentenza, è giocoforza constatare che il fatto di soddisfare una delle condizioni alternative di liceità menzionate all’articolo 6, paragrafo 1, primo comma, del RGPD, in linea di principio, è già idoneo a limitare i trattamenti, di cui i dati in questione possono essere oggetto, a quelli non solo necessari alla realizzazione di un obiettivo legittimo, ma anche che presentano un legittimo interesse superiore alla gravità dell’ingerenza nei diritti fondamentali garantiti agli articoli 7 e 8 della Carta che tali trattamenti comportano.
99 Per quanto riguarda i trattamenti rientranti nell’ambito di applicazione dell’articolo 6, paragrafo 1, primo comma, lettera c), del RGPD, vale a dire quelli necessari per adempiere un obbligo legale cui è soggetto il titolare del trattamento, l’articolo 6, paragrafo 3, secondo comma, di tale regolamento prevede quindi espressamente che il diritto dell’Unione o il diritto degli Stati membri che funge da base giuridica per siffatti trattamenti, e quindi che enuncia l’obbligo che questi trattamenti devono rispettare, deve rispondere a un obiettivo di interesse pubblico ed essere proporzionato all’obiettivo legittimo perseguito.
100 Così facendo, quest’ultima disposizione sancisce esplicitamente il requisito secondo cui l’obbligo legale cui è soggetto il titolare del trattamento e che funge da base per un trattamento di dati personali sia il risultato di un bilanciamento, in sede di adozione di tale base giuridica, tra, da un lato, i diritti fondamentali al rispetto della vita privata e alla protezione dei dati di carattere personale, sanciti agli articoli 7 e 8 della Carta, e, dall’altro, gli obiettivi legittimamente perseguiti in tale occasione dal diritto dell’Unione o dal diritto degli Stati membri (v., per analogia, sentenza del 4 ottobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punto 124 e giurisprudenza citata).
101 Orbene, poiché, conformemente all’articolo 5, paragrafo 1, lettera c), del RGPD, solo dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità perseguite possono essere utilizzati per realizzare trattamenti, qualora detto obbligo sia il risultato di un siffatto bilanciamento, i dati che soddisfano tali requisiti saranno necessariamente unicamente quelli che presentano un legittimo interesse superiore alla gravità dell’ingerenza nei diritti fondamentali garantiti agli articoli 7 e 8 della Carta, che detti trattamenti comportano.
102 Nel caso di trattamenti di dati personali che un giudice deve effettuare in occasione dell’esame dei mezzi di prova dedotti dalle parti, poiché tali trattamenti sono necessari al rispetto del diritto a un equo processo, si deve constatare che, al fine di conformarsi al principio della «minimizzazione dei dati», tale giudice deve unicamente verificare se i dati da esso trattati soddisfino le condizioni previste all’articolo 5, paragrafo 1, lettera c), del RGPD, senza dovere, specificamente a tale titolo, e quindi in aggiunta all’obbligo, sancito dall’articolo 6, paragrafo 3, secondo comma, del RGPD, per la base giuridica che impone i trattamenti in questione, di essere proporzionata all’obiettivo legittimo perseguito, procedere a un bilanciamento degli interessi in gioco, indipendentemente dal fatto che tale bilanciamento sia o meno esaustivo.
103 Tenuto conto di tutto quanto precede, occorre rispondere alla terza questione, lettera a), dichiarando che l’articolo 5, paragrafo 1, lettera c), del RGPD, in combinato disposto con l’articolo 52, paragrafo 1, seconda frase, della Carta, deve essere interpretato nel senso che il principio della «minimizzazione dei dati» non richiede, per un giudice, di garantire il rispetto, per ogni trattamento di dati personali da esso effettuato, del principio di proporzionalità, assicurandosi che i dati trattati in tale occasione siano idonei a consentire la realizzazione dell’obiettivo perseguito da tale trattamento, nonché strettamente necessari a tal fine, e che la gravità dell’ingerenza nei diritti fondamentali che comporta la presa in considerazione di tali dati al fine di effettuare detto trattamento, sia in relazione con l’interesse che presenta, per tale giudice, il ricorso a questi dati per effettuare il medesimo trattamento, purché siano rispettate le condizioni previste all’articolo 5, paragrafo 1, lettera c), del RGPD.
Sulla terza questione, lettere da b) a d)
104 Stante quanto rilevato al punto 49 della presente sentenza, si deve ritenere che, con la sua terza questione, lettere da b) a d), il giudice del rinvio chieda, in sostanza, se gli articoli 7 e 8 della Carta, l’articolo 5, paragrafo 1, del RGPD, l’articolo 6, paragrafo 1, primo comma, lettera c), del RGPD, letto in combinato disposto con l’articolo 6, paragrafo 3, di quest’ultimo, e il principio della «minimizzazione dei dati» debbano essere interpretati nel senso che ostano a che un giudice nazionale utilizzi elementi di prova contenenti dati personali, ottenuti dalla parte che li ha trasmessi in violazione del diritto alla tutela della vita privata e del diritto alla protezione dei dati personali, qualora tale parte non abbia un legittimo interesse a tale trattamento che sia superiore a quello di comprovare semplicemente gli elementi di fatto da essa invocati.
105 A tal riguardo, occorre sottolineare, da un lato, che, sebbene il diritto alla tutela della vita privata e il diritto alla protezione dei dati personali, di cui agli articoli 7 e 8 della Carta, possano, in determinate situazioni, entrare in conflitto con il diritto a un ricorso effettivo, garantito all’articolo 47 della Carta, per i trattamenti di dati personali rientranti nell’ambito di applicazione del RGPD, si deve considerare che i meccanismi che consentono di trovare un giusto equilibrio tra i diversi diritti fondamentali e interessi in gioco siano stabiliti da questo stesso regolamento (v., in tal senso, sentenza del 17 giugno 2021, M.I.C.M., C‑597/19, EU:C:2021:492, punto 112).
106 In particolare, la proporzionalità delle lesioni che un trattamento rientrante nell’ambito di applicazione del RGPD può comportare per il diritto alla tutela della vita privata e al diritto alla protezione dei dati personali, di cui agli articoli 7 e 8 della Carta, è garantita dal combinato disposto dei principi previsti all’articolo 5, paragrafo 1, di tale regolamento e dei requisiti inerenti a ciascuna condizione alternativa di liceità enunciata all’articolo 6, paragrafo 1, primo comma, di detto regolamento, se del caso, in combinato disposto con l’articolo 6, paragrafo 3, di quest’ultimo.
107 Di conseguenza, sempreché siano soddisfatte le condizioni per un trattamento lecito di dati personali ai sensi del medesimo regolamento, si ritiene, in linea di principio, che tale trattamento soddisfi anche i requisiti stabiliti agli articoli 7 e 8 della Carta [sentenza del 5 giugno 2023, Commissione/Polonia (Indipendenza e vita privata dei giudici), C‑204/21, EU:C:2023:442, punto 332].
108 D’altro lato, come sottolineato in sostanza dall’avvocato generale al paragrafo 32 delle sue conclusioni, né l’articolo 5, paragrafo 1, del RGPD né alcuno degli altri diritti e principi enunciati ai capi II e III di tale regolamento vietano in modo generale e assoluto a un’autorità pubblica, come un organo giurisdizionale, di tener conto di dati personali che siano stati precedentemente oggetto, da parte della persona che glieli ha trasmessi, di un trattamento illecito, ai sensi di detto regolamento.
109 È vero che l’articolo 5, paragrafo 1, lettera a), del RGPD enuncia come principio che un trattamento di dati personali deve essere non solo lecito e trasparente, ma anche corretto.
110 Tuttavia, dal considerando 39 del regolamento in parola risulta che l’obiettivo perseguito da tale principio di correttezza, che si confonde con quello perseguito dal principio di trasparenza, è quello di garantire che gli interessati siano a conoscenza dell’esistenza di un trattamento dei loro dati personali e che, in tale occasione, ricevano le informazioni necessarie all’esercizio dei loro diritti.
111 Pertanto, l’incidenza della circostanza che i dati trattati siano stati precedentemente oggetto, dalla parte che li ha trasmessi, di un trattamento illecito, ai sensi dell’articolo 5, paragrafo 1, lettera a), del RGPD, dipende dalla condizione alternativa di liceità invocata dal titolare del trattamento per giustificare tale trattamento. Infatti, alcune di tali condizioni alternative possono non essere applicabili in presenza di tali dati a causa dei requisiti da esse enunciati.
112 Così, per quanto riguarda la condizione alternativa di liceità di cui all’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD, il fatto che il titolare del trattamento sapesse o avrebbe dovuto sapere che taluni dati che gli erano stati trasmessi erano stati precedentemente raccolti o conservati in modo illecito esclude che si possa ritenere che la raccolta di tali dati, operata da tale titolare del trattamento successivamente alla loro trasmissione, persegua interessi legittimi e, di conseguenza, soddisfi tale condizione alternativa di liceità.
113 Tuttavia, si deve constatare che i trattamenti di dati personali effettuati da un giudice in relazione ai dati personali contenuti nei mezzi di prova dedotti dalle parti sono, in linea di principio, necessari al rispetto di un obbligo legale gravante su tale giudice, vale a dire quello di statuire sull’ammissibilità dei suddetti mezzi di prova dedotti e, qualora questi ultimi siano stati dichiarati ammissibili in base ai criteri previsti a tal fine dal diritto nazionale, quello di tenerne conto per emanare la propria decisione.
114 Orbene, l’articolo 6, paragrafo 1, primo comma, lettera c), del RGPD non menziona alcun requisito tale da escludere che un giudice possa basarsi su questa condizione alternativa di liceità qualora i dati personali in questione, contenuti in un mezzo di prova dedotto, siano stati precedentemente oggetto, da parte della persona che li ha trasmessi, di un trattamento illecito, ai sensi di tale regolamento.
115 Certamente, l’articolo 6, paragrafo 3, del RGPD precisa che la base giuridica dei trattamenti di dati personali che si fondano sull’articolo 6, paragrafo 1, primo comma, lettera c), di tale regolamento, debba essere stabilita dal diritto dell’Unione o dal diritto dello Stato membro cui è soggetto il titolare del trattamento, che tale base giuridica può contenere disposizioni specifiche per adeguare l’applicazione delle norme di tale regolamento ai requisiti perseguiti da questi trattamenti e che, in ogni caso, il diritto dell’Unione o il diritto di tale Stato membro deve rispondere a un obiettivo di interesse pubblico ed essere proporzionato all’obiettivo legittimo perseguito (v., in tal senso, sentenza del 2 marzo 2023, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, punto 31).
116 Per quanto riguarda tale condizione di proporzionalità e i requisiti che essa impone, occorre rilevare che, secondo la giurisprudenza ricordata al punto 91 della presente sentenza, in primo luogo, la base giuridica che serve da fondamento al trattamento in questione deve essere idonea a consentire di rispondere all’obiettivo di interesse pubblico perseguito, in secondo luogo, essa deve autorizzare unicamente trattamenti che restino nei limiti dello stretto necessario, il che presuppone che non vi siano altre misure meno lesive dei diritti e delle libertà degli interessati che consentano di raggiungere altrettanto efficacemente il suddetto obiettivo, e, in terzo luogo, tale base giuridica deve essere proporzionata, in senso stretto, affinché, dopo la ponderazione di tutti gli elementi pertinenti, essa non possa autorizzare trattamenti che comportino limitazioni ai diritti e alle libertà degli interessati che siano sproporzionate rispetto all’importanza attribuita alla realizzazione di detto obiettivo.
117 Orbene, la circostanza che l’obbligo legale che rende necessario il trattamento dei dati personali contenuti nei mezzi di prova dedotti dalle parti si applichi anche ai dati personali ottenuti in violazione del diritto alla tutela della vita privata e del diritto alla protezione dei dati personali dalla parte che li ha trasmessi a un giudice, non sembra tale da escludere che detta base giuridica possa soddisfare siffatti requisiti.
118 Anzitutto, per quanto riguarda il primo requisito ricordato al punto 91 della presente sentenza, nel caso di un trattamento di dati personali da parte di un giudice, l’obbligo legale che impone a tale giudice di pronunciarsi sull’ammissibilità dei mezzi di prova dedotti dalle parti e, qualora tali mezzi di prova siano ammissibili, di tenerne conto per emanare la sua decisione, deve essere considerato come riguardante un obiettivo di interesse pubblico, poiché concerne il rispetto di un diritto fondamentale, vale a dire il diritto a un equo processo, sancito dall’articolo 47 della Carta.
119 Tale obbligo, poi, deve anche essere considerato idoneo a consentire la realizzazione del suddetto obiettivo di interesse pubblico, nonché strettamente necessario a tal fine, anche laddove i dati in questione siano stati ottenuti illecitamente. In particolare, poiché il diritto a un equo processo impone a un giudice di pronunciarsi sull’ammissibilità dei mezzi di prova dedotti dalle parti e, qualora tali mezzi di prova siano ammissibili, di tenerne conto ai fini della sua decisione, nessun’altra misura sembra idonea a realizzare in modo altrettanto efficace un siffatto obiettivo come quella consistente nel consentire ai giudici di trattare i dati personali contenuti nei mezzi di prova dedotti dalle parti.
120 Infine, giova ricordare che, come confermato dal considerando 4 del RGPD, il diritto alla protezione dei dati personali non è un diritto assoluto, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità, come il diritto a una tutela giurisdizionale effettiva, garantito dall’articolo 47 della Carta (v., in tal senso, sentenza del 2 marzo 2023, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, punto 49).
121 Tenuto conto della funzione sociale essenziale svolta dal diritto a un equo processo, il fatto di obbligare un giudice a trattare i dati personali contenuti nei mezzi di prova dedotti dalle parti, anche qualora tali dati siano stati ottenuti in violazione del diritto alla tutela della vita privata e del diritto alla protezione dei dati personali, non sembra essere tale da arrecare un pregiudizio sproporzionato a tali diritti, quali garantiti agli articoli 7 e 8 della Carta.
122 Di conseguenza, l’obbligo gravante su un giudice, conformemente al diritto a un equo processo, di trattare tutti i dati personali contenuti nei mezzi di prova dedotti, soddisfa i requisiti di cui all’articolo 6, paragrafo 3, del RGPD, e ciò anche qualora tale obbligo riguardi dati ottenuti in violazione dei diritti della personalità e la parte che li ha trasmessi a tale giudice non abbia un legittimo interesse a un siffatto trattamento che sia superiore a quello di comprovare semplicemente gli elementi invocati.
123 Ciò premesso, i dati utilizzati in tali occasioni devono, conformemente all’articolo 5, paragrafo 1, lettera c), del RGPD, essere limitati ai dati adeguati, pertinenti e necessari rispetto alle finalità per le quali sono trattati.
124 Orbene, a tal riguardo, per quanto concerne, in primo luogo, i dati personali utilizzati in occasione dei trattamenti che un giudice intraprende al fine di decidere in merito all’ammissibilità dei mezzi di prova dedotti e alla pertinenza dei fatti invocati da una parte alla luce delle norme del diritto nazionale applicabile in materia, occorre sottolineare che il diritto a un equo processo, quale riconosciuto all’articolo 47 della Carta, implica che le parti siano in grado di presentare a un giudice i mezzi di prova che esse ritengono pertinenti.
125 Di conseguenza, per quanto riguarda i ricorsi giurisdizionali destinati a garantire la tutela dei diritti spettanti ai singoli in forza del diritto dell’Unione, il fatto che, al fine di statuire sull’ammissibilità dei mezzi di prova dedotti, un giudice sia indotto a trattare dati personali non implica, in linea di principio, alcuna violazione del principio della «minimizzazione dei dati», poiché, in tale fase, tali dati sono proprio adeguati, pertinenti e necessari per consentire a detto giudice di pronunciarsi su tale ammissibilità. Lo stesso vale per i ricorsi giurisdizionali nell’ambito dei quali il diritto dell’Unione non è invocato, qualora un diritto avente una portata analoga al diritto a un equo processo, garantito dall’articolo 47 della Carta, sia riconosciuto alle parti dal diritto dello Stato membro interessato.
126 Per contro, dopo che un giudice ha constatato l’ammissibilità, in base alle norme previste a tal fine dal diritto nazionale, dei documenti contenenti i dati personali trasmessigli, esso deve, prima di versarli agli atti, esaminare se tali dati si limitino a quelli necessari rispetto alle finalità perseguite, vale a dire consentirgli di emanare una decisione la più edotta possibile alla luce delle circostanze rilevanti del caso e conformarsi al principio del contraddittorio, o se si renda per esso necessario adottare talune misure volte a ridurre il numero di dati in tal modo interessati, come un’anonimizzazione parziale o totale dei documenti in questione, senza con ciò ledere i diritti delle altre parti.
127 Ciò premesso, la circostanza che i dati in questione siano stati ottenuti in violazione del diritto alla tutela della vita privata e del diritto alla protezione dei dati personali, di cui agli articoli 7 e 8 della Carta, non risulta di per sé determinante, in quanto i criteri previsti all’articolo 5, paragrafo 1, lettera c), del RGPD richiedono che tali dati siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità perseguite.
128 Per quanto riguarda, in secondo luogo, i dati personali utilizzati in occasione dei trattamenti che un giudice effettua al fine di adottare la propria decisione, tenuto conto del diritto a un equo processo, tutti i dati contenuti in documenti dichiarati ammissibili e versati agli atti devono, in linea di principio, essere considerati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità di siffatti trattamenti, poiché, conformemente al summenzionato diritto a un equo processo, detto giudice è tenuto a prendere in considerazione l’insieme di tali elementi di prova al fine, in particolare, di valutarne la pertinenza.
129 In terzo e ultimo luogo, per quanto riguarda la divulgazione di tali dati da parte di un giudice in occasione della notifica o della pubblicazione della sua sentenza, un siffatto trattamento richiede di tener conto, al fine di garantire che detti dati siano limitati a quanto necessario rispetto alle finalità per le quali sono trattati, che tale giudice tenga segnatamente conto non solo della necessità di consentire l’esecuzione della decisione, di informare i terzi che possono essere parimenti interessati dai fatti di cui trattasi e di tutelare i singoli contro le derive di una giustizia segreta (v., in tal senso, Corte EDU, 2 giugno 2022, Straume c. Lettonia, CE:ECHR:2022:0602JUD005940214, § 124), ma anche della possibilità di adottare determinate misure, quali l’anonimizzazione e la pseudonimizzazione di questi stessi dati, per minimizzare il pregiudizio al diritto alla protezione dei dati personali che una siffatta divulgazione può comportare.
130 Stante tutto quanto precede, occorre rispondere alla terza questione, lettere da b) a d), dichiarando che gli articoli 7 e 8 della Carta, l’articolo 5, paragrafo 1, del RGPD, l’articolo 6, paragrafo 1, primo comma, lettera c), di tale regolamento, in combinato disposto con l’articolo 6, paragrafo 3, di quest’ultimo, e il principio della «minimizzazione dei dati» devono essere interpretati nel senso che essi non ostano a che un giudice nazionale utilizzi elementi di prova contenenti dati personali ottenuti dalla parte che li ha trasmessi in violazione del diritto alla tutela della vita privata e del diritto alla protezione dei dati personali, qualora tale parte non abbia un legittimo interesse a tale trattamento che sia superiore a quello di comprovare semplicemente gli elementi di fatto da essa dedotti. Per contro, prima di procedere alla divulgazione di tali dati alle parti o a terzi, detto giudice deve verificare che tali dati siano limitati a quanto necessario rispetto alle finalità per le quali avviene tale divulgazione e, se del caso, adottare determinate misure per minimizzare la lesione del diritto alla protezione dei dati personali che una siffatta divulgazione può comportare.
Sulla terza questione, lettera e)
131 Con la sua terza questione, lettera e), il giudice del rinvio chiede, in sostanza, se l’articolo 13, paragrafi 1 e 2, del RGPD debba essere interpretato nel senso che esso osta a che un giudice nazionale utilizzi, nell’esercizio della sua funzione giurisdizionale, dati raccolti da una persona che non abbia rispettato gli obblighi di informazione ad essa incombenti in forza di tale disposizione.
132 A tal riguardo, dall’articolo 13, paragrafi 1 e 2, del RGPD risulta che, in caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le informazioni elencate in tali paragrafi.
133 Siccome detta disposizione fa parte del capo III del RGPD, si deve ritenere che detti paragrafi contengano condizioni che devono essere rispettate affinché una raccolta di dati personali sia lecita.
134 Del resto, l’obbligo previsto dal suddetto articolo 13 contribuisce a soddisfare il requisito previsto all’articolo 5, paragrafo 1, lettera a), del RGPD, il quale fa parte del capo II di tale regolamento, secondo cui qualsiasi trattamento di dati personali deve essere corretto e trasparente, sicché, anche a tale titolo, esso deve essere rispettato.
135 Tuttavia, senza che sia necessario stabilire se, al fine di preservare l’effetto utile dell’articolo 17, paragrafo 3, lettera e), del RGPD, tale disposizione debba essere interpretata nel senso che il fatto che la parte interessata abbia raccolto i dati in questione senza conformarsi a tale obbligo non comporta che il trattamento consistente nella trasmissione di prove contenenti tali dati a un giudice debba essere considerato illecito, occorre ricordare che, come constatato al punto 108 della presente sentenza, né l’articolo 5, paragrafo 1, del RGPD, né alcuno degli altri diritti e principi enunciati ai capi II e III di tale regolamento vietano in modo generale e assoluto a un titolare del trattamento di tener conto di dati personali precedentemente oggetto, da parte della persona che li ha trasmessi, di un trattamento illecito, ai sensi del RGPD.
136 Di conseguenza, occorre rispondere alla terza questione, lettera e), dichiarando che l’articolo 13, paragrafi 1 e 2, del RGPD deve essere interpretato nel senso che esso non osta a che un giudice nazionale utilizzi, nell’esercizio della sua funzione giurisdizionale, dati raccolti da una parte o da un terzo che non abbiano rispettato gli obblighi di informazione ad essi incombenti in forza di tale disposizione.
Sulla terza questione, lettera f)
137 Con la sua terza questione, lettera f), il giudice del rinvio chiede, in sostanza, se il RGPD debba essere interpretato nel senso che un giudice è tenuto, nell’esercizio della sua funzione giurisdizionale, a garantire il rispetto di tale regolamento quando tratta dati personali relativi a terzi non coinvolti nel procedimento dinanzi ad esso pendente, e se il diritto dell’Unione esiga che una delle parti di tale procedimento possa invocare la circostanza che tali dati sono stati raccolti o conservati illecitamente, ai sensi di detto regolamento, dall’altra parte in violazione dei diritti che tali terzi traggono dal medesimo regolamento.
138 A tal riguardo, dall’articolo 288 TFUE risulta che un regolamento è un atto di portata generale, obbligatorio in tutti i suoi elementi e direttamente applicabile in tutti gli Stati membri.
139 Posto che i principi enunciati al capo II del RGPD si applicano indipendentemente da qualsiasi considerazione connessa alla situazione procedurale degli interessati o dalla circostanza che il titolare del trattamento sia un organo giurisdizionale, tale regolamento, in combinato disposto con l’articolo 288 TFUE, deve essere interpretato nel senso che un giudice è tenuto, nell’esercizio delle sue funzioni giurisdizionali, a rispettare detto regolamento quando tratta dati personali relativi a terzi non coinvolti nel procedimento dinanzi ad esso pendente.
140 Per quanto riguarda invece la questione se una parte possa far valere un illecito commesso a danno di un terzo, essa rientra, in mancanza di disposizioni pertinenti nel diritto dell’Unione, nell’autonomia procedurale degli Stati membri.
141 Certamente, per quanto riguarda i ricorsi giurisdizionali intesi a garantire la tutela dei diritti spettanti ai singoli in forza del diritto dell’Unione, in ossequio al principio di autonomia procedurale, applicabile in mancanza di disposizioni previste dal diritto dell’Unione, le modalità procedurali di tali ricorsi devono essere né meno favorevoli di quelle che disciplinano situazioni analoghe assoggettate al diritto interno (principio di equivalenza), né tali da rendere praticamente impossibile o eccessivamente difficile l’esercizio dei diritti conferiti dal diritto dell’Unione (principio di effettività) (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 223 e giurisprudenza citata).
142 Inoltre, tali modalità procedurali devono altresì essere conformi al diritto a un equo processo, quale garantito dall’articolo 47 della Carta, dato che quest’ultima è destinata ad applicarsi, conformemente al suo articolo 51, in tutte le situazioni in cui gli Stati membri attuano il diritto dell’Unione.
143 Tuttavia, è giocoforza constatare che né il principio di effettività né il diritto a un equo processo garantito dall’articolo 47 della Carta impongono, in linea di principio, di riconoscere alle parti di un procedimento giudiziario la possibilità di far valere una violazione del RGPD commessa a danno di terzi non coinvolti in tale procedimento.
144 Di conseguenza, occorre rispondere alla terza questione, lettera f), dichiarando che il RGPD deve essere interpretato nel senso che un giudice è tenuto, nell’esercizio della sua funzione giurisdizionale, a garantire il rispetto di tale regolamento, quando tratta dati personali relativi a terzi non coinvolti in un procedimento. Il diritto dell’Unione non esige che una delle parti di tale procedimento possa invocare la circostanza che tali dati sono stati raccolti o conservati illecitamente, ai sensi di detto regolamento, dall’altra parte, in violazione dei diritti che tali terzi traggono dal medesimo regolamento.
Sulle spese
145 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
Per questi motivi, la Corte (Quinta Sezione) dichiara:
1) L’articolo 6, paragrafo 1, primo comma, lettera c), e paragrafo 3, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), letto alla luce dell’articolo 8, paragrafo 2, e dell’articolo 52 della Carta dei diritti fondamentali dell’Unione europea,
dev’essere interpretato nel senso che:
esso non osta a una normativa nazionale che, nel caso di un trattamento di dati personali effettuato nell’ambito dell’esame dei fatti e dell’acquisizione delle prove da parte di un giudice, si limiti a prevedere che spetta alle parti presentare elementi di fatto circostanziati e veritieri nonché a imporre a tale giudice di prenderli pienamente in considerazione, prima, se del caso, di effettuarne una valutazione, senza contenere indicazioni sulle circostanze e sulle condizioni in cui i fatti riferiti e le prove dedotte dalle parti contenenti dati personali possano essere utilizzati da tale giudice, sempreché esista una giurisprudenza nazionale chiara, precisa e di prevedibile applicazione che stabilisca essa stessa le circostanze e le condizioni nelle quali i fatti riferiti e le prove dedotte dalle parti contenenti dati personali possono essere utilizzati da un giudice, e tale giurisprudenza risponda a un obiettivo di interesse pubblico e sia proporzionata a quest’ultimo.
2) L’articolo 17, paragrafo 3, lettera e), del regolamento 2016/679
dev’essere interpretato nel senso che:
tale disposizione non enuncia una condizione alternativa di liceità che un trattamento potrebbe soddisfare per essere conforme all’articolo 5, paragrafo 1, lettera a), del predetto regolamento e che sia distinta da una di quelle elencate all’articolo 6, paragrafo 1, primo comma, del medesimo regolamento.
3) L’articolo 5, paragrafo 1, lettera c), del regolamento 2016/679, in combinato disposto con l’articolo 52, paragrafo 1, seconda frase, della Carta dei diritti fondamentali,
dev’essere interpretato nel senso che:
il principio della «minimizzazione dei dati» non richiede, per un giudice, di garantire il rispetto, per ogni trattamento di dati personali da esso effettuato, del principio di proporzionalità, assicurandosi che i dati trattati in tale occasione siano idonei a consentire la realizzazione dell’obiettivo perseguito da tale trattamento, nonché strettamente necessari a tal fine, e che la gravità dell’ingerenza nei diritti fondamentali che comporta la presa in considerazione di tali dati al fine di effettuare detto trattamento, sia in relazione con l’interesse che presenta, per tale giudice, il ricorso a questi dati per effettuare il medesimo trattamento, purché siano rispettate le condizioni previste all’articolo 5, paragrafo 1, lettera c), del regolamento 2016/679.
4) Gli articoli 7 e 8 della Carta dei diritti fondamentali, l’articolo 5, paragrafo 1, del regolamento 2016/679, l’articolo 6, paragrafo 1, primo comma, lettera c), di tale regolamento, in combinato disposto con l’articolo 6, paragrafo 3, dello stesso, e il principio della «minimizzazione dei dati»
devono essere interpretati nel senso che:
essi non ostano a che un giudice nazionale utilizzi elementi di prova contenenti dati personali ottenuti dalla parte che li ha trasmessi in violazione del diritto alla tutela della vita privata e del diritto alla protezione dei dati personali, qualora tale parte non abbia un legittimo interesse a tale trattamento che sia superiore a quello di comprovare semplicemente gli elementi di fatto da essa dedotti. Per contro, prima di procedere alla divulgazione di tali dati alle altre parti o a terzi, detto giudice deve verificare che tali dati siano limitati a quanto necessario rispetto alle finalità per le quali avviene tale divulgazione e, se del caso, adottare determinate misure per minimizzare la lesione del diritto alla protezione dei dati personali che una siffatta divulgazione può comportare.
5) L’articolo 13, paragrafi 1 e 2, del regolamento 2016/679
dev’essere interpretato nel senso che:
esso non osta a che un giudice nazionale utilizzi, nell’esercizio della sua funzione giurisdizionale, dati raccolti da una parte o da un terzo che non abbiano rispettato gli obblighi di informazione ad essi incombenti in forza di tale disposizione.
6) Il regolamento 2016/679
dev’essere interpretato nel senso che:
un giudice è tenuto, nell’esercizio della sua funzione giurisdizionale, a garantire il rispetto di tale regolamento, quando tratta dati personali relativi a terzi non coinvolti in un procedimento. Il diritto dell’Unione non esige che una delle parti di tale procedimento possa invocare la circostanza che tali dati sono stati raccolti o conservati illecitamente, ai sensi di detto regolamento, dall’altra parte, in violazione dei diritti che tali terzi traggono dal medesimo regolamento.
Firme





AMBIENTEDIRITTO.IT Casa Editrice