L’Autorità Garante per la protezione dei dati personali (DSS) pubblica regolarmente nella sua newsletter brevi riassunti delle sentenze dei tribunali rilevanti per la normativa sulla protezione dei dati. In allegato tre decisioni della Corte di giustizia europea (CGUE) e una della Corte tributaria federale tedesca (BFH), che di recente hanno ulteriormente chiarito l’interpretazione del Regolamento generale sulla protezione dei dati europeo (GDPR) e della legge sulla protezione dei dati del Liechtenstein (DSG).

• Sentenza della CGUE del 9 gennaio 2025 – C-416/23: Criteri di valutazione delle richieste “eccessive”
  La CGUE ha stabilito che le richieste non possono essere qualificate come “eccessive” ai sensi dell’art. 57 (4) GDPR esclusivamente sulla base del loro numero durante un certo periodo di tempo , poiché tale disposizione richiede all’autorità di controllo di provare che la persona richiedente aveva l’intenzione di abusare dei dati. L’interessato aveva presentato 77 reclami simili all’autorità di controllo per la protezione dei dati nei confronti di diversi titolari del trattamento nell’arco di un periodo di circa 20 mesi. In caso di richieste eccessive , un’autorità di controllo può, mediante decisione motivata, scegliere tra l’addebito di un contributo spese ragionevole basato sui costi amministrativi o il rifiuto di soddisfare la richiesta, tenendo conto di tutte le circostanze pertinenti e accertandosi che l’opzione scelta sia appropriata, necessaria e proporzionata. Inoltre, la CGUE ha chiarito che il termine “richiesta” contenuto nell’articolo 57(4) GDPR include i reclami ai sensi dell’articolo 57(1)(f). f e Art. 77 Paragrafo. 1 GDPR.
   
• Sentenza BFH del 14 gennaio 2025 – IX R 25/22: Obbligo di informazione ai sensi dell’art. 15 GDPR anche se ciò comporta un grande sforzo
  . La Corte tributaria federale tedesca ha stabilito il 14 gennaio 2025 che un’autorità non può rifiutarsi di fornire informazioni ai sensi dell’art. 15 GDPR perché lo sforzo richiesto è eccessivo. Inizialmente l’ufficio delle imposte ha fornito al ricorrente una panoramica e gli ha concesso l’accesso ai fascicoli, ma si è rifiutato di fornirne copie complete, sostenendo che lo sforzo sarebbe stato sproporzionato. La Corte tributaria federale ha stabilito che il GDPR non prevede tale motivo di rifiuto. L’offerta di ispezionare i file non equivale alla creazione di una copia dei dati.Come stabilito dall’articolo 15(3) GDPR, il titolare del trattamento deve fornire una copia dei dati personali oggetto di trattamento su richiesta dell’interessato. La mera offerta di accesso non è quindi sufficiente e non può essere equiparata al diritto all’informazione di cui all’art. 15 GDPR.
  
  In particolare, una richiesta di informazioni non può essere respinta come “eccessiva” semplicemente perché è esaustiva. Una richiesta di informazioni non è considerata eccessiva se l’interessato chiede informazioni sui propri dati personali senza limitare tale richiesta in termini di contenuto o di tempo.
   
• Sentenza della Corte di giustizia dell’Unione europea del 13 febbraio 2025 – C-383/23: Multe; Termine “impresa”
  Secondo la CGUE, il termine “impresa” di cui all’articolo 83, paragrafi da 4 a 6, del GDPR corrisponde al termine “impresa” ai sensi degli articoli 101 e 102 TFUE. Un’impresa ai sensi dell’articolo 83 (4) a (6) del GDPR deve quindi essere intesa come un’unità economica, anche se, dal punto di vista giuridico, è composta da più persone fisiche o giuridiche. Ciò significa che l’ importo massimo di qualsiasi sanzione imposta a un titolare del trattamento per violazione del GDPR sarà determinato in base a una percentuale del fatturato annuo mondiale totale dell’azienda nell’esercizio finanziario precedente
  
  . Anche il concetto di “impresa” deve essere preso in considerazione per valutare la capacità effettiva o materiale del destinatario della sanzione e verificare così se la sanzione sia efficace e proporzionata nonché dissuasiva. In passato, diverse aziende avevano sostenuto che per mantenere basse le sanzioni fossero necessarie entità separate (filiali, ecc.).
  
  Questa decisione ha implicazioni che vanno ben oltre l’ambito di applicazione del GDPR. Anche il regolamento sull’intelligenza artificiale, la legge sui mercati digitali e la legge sui servizi digitali contengono disposizioni sanzionatorie simili, per le quali questa sentenza sarà decisiva.
   
• Sentenza della Corte di giustizia dell’Unione europea del 27 febbraio 2025 – C-203/22: Diritto all’informazione nel caso di decisioni automatizzate; Segreti commerciali
  La Corte di giustizia dell’Unione europea ha stabilito che l’articolo 15(1)(a) h del GDPR deve essere interpretato nel senso che le aziende devono fornire all’interessato informazioni dettagliate sulle procedure utilizzate quando prendono decisioni automatizzate (inclusa la profilazione) ai sensi dell’art. 22 (1) GDPR.
  
  Un’agenzia di credito si è rifiutata di rivelare la logica del suo punteggio, citando il segreto commerciale. Tuttavia, la Corte di giustizia europea ha stabilito che le aziende sono tenute a spiegare ai soggetti interessati le procedure e i principi delle decisioni automatizzate in forma precisa, trasparente, intelligibile e facilmente accessibile . Gli interessati devono quindi essere in grado di comprendere appieno le informazioni, motivo per cui potrebbe essere necessario contestualizzare le informazioni fornite. Inoltre , le aziende sono obbligate a rivelare i segreti aziendali ai sensi dell’articolo 2 n. 1 della direttiva (UE) 2016/943 all’autorità di controllo della protezione dei dati competente o a un tribunale competente . L’autorità di controllo della protezione dei dati o il tribunale devono quindi valutare se e in quale misura i segreti commerciali siano rilevanti per l’interessato e debbano essere divulgati.
  
  In questo caso specifico, alla persona interessata è stato rifiutato un contratto a causa della mancanza di solvibilità basata su un punteggio di credito supportato dall’intelligenza artificiale.

Nota sul termine “segreto commerciale”:
 La definizione di segreto commerciale si basa sulla direttiva (UE) 2016/943  del Parlamento europeo e del Consiglio, dell’8 giugno 2016, sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti. Per essere considerate un “segreto commerciale”, le informazioni in questione devono, ai sensi dell’articolo 2(1) della direttiva, soddisfare cumulativamente i seguenti criteri:
 a) sono segrete nel senso che né nella loro interezza né nella precisa disposizione e composizione dei loro componenti sono generalmente note o facilmente accessibili alle persone negli ambienti che normalmente hanno a che fare con questo tipo di informazioni;
b) hanno valore commerciale perché sono segrete;
c) siano soggette a misure di riservatezza appropriate, appropriate alle circostanze, da parte della persona che ha il legittimo controllo sulle informazioni.
 → Prima di invocare il segreto commerciale per rifiutare di fornire informazioni, occorre sempre verificare se tutti e tre i criteri sono effettivamente soddisfatti e, in particolare, se le informazioni segrete sono non solo segrete, ma hanno anche un valore commerciale.

• Sentenza della Corte di giustizia dell’Unione europea del 3 aprile 2025 – C-710/23: Dati dei rappresentanti di persone giuridiche
  La Corte di giustizia dell’Unione europea ha stabilito che la divulgazione dei nomi e dei dati di contatto dei rappresentanti di persone giuridiche nei documenti ufficiali costituisce un trattamento di dati personali ai sensi del GDPR. Lavorare per una persona giuridica non cambia il fatto che in ultima analisi vengono trattati i dati della persona fisica. Tale trattamento è pertanto tutelato dal GDPR.
  
  Inoltre, il GDPR non impedisce che vi siano normative nazionali più severe in materia di divulgazione dei documenti ufficiali. Nello specifico, la questione era che la normativa nazionale prevedeva che la persona fisica interessata dovesse essere informata e consultata prima della divulgazione di documenti ufficiali contenenti i suoi dati. Finché tale obbligo non è impossibile da attuare o comporta uno sforzo sproporzionato e pertanto non comporta una limitazione sproporzionata del diritto del pubblico di accesso a tali documenti, esso non viola il GDPR.

Nota:  una raccolta più completa della giurisprudenza pertinente in materia di protezione dei dati è disponibile nella  rassegna della giurisprudenza dell’Ufficio per la protezione dei dati  . 

https://www.datenschutzstelle.li/aktuelles/relevante-rechtsprechung-update-2