La Corte di Giustizia europea (Causa C-693/22) è stata investita di un quesito molto interessante: la vendita, nell’ambito di un procedimento di esecuzione forzata, di una banca di dati contenente dati personali può essere ritenuta conforme alle disposizioni del Regolamento (UE) 2016/679 quando gli interessati non abbiano acconsentito alla vendita?
Lo scorso 22 febbraio sono state depositate le conclusioni dell’avvocato generale, il quale ha ritenuto che la vendita di una banca di dati personali tramite esecuzione forzata sia possibile.
Brevi premesse sui fatti
Per comprendere fino in fondo le argomentazioni dell’avvocato generale occorre richiamare alcuni elementi di fatto.
Una società commerciale è proprietaria di una piattaforma di e-commerce e della banca dati contenente i dati degli utenti del sito; la stessa società è debitrice di un soggetto terzo che ha attivato un procedimento esecutivo per ottenere il soddisfacimento del proprio credito, già riconosciuto in via definitiva. Gli unici beni di un certo valore di cui la debitrice è titolare sono la piattaforma e la connessa banca dati; la vendita della sola piattaforma avrebbe però valore limitato e non sarebbe sufficiente a soddisfare il credito. Si pone però il problema se la banca di dati, contenente dati personali, possa essere venduta senza il preventivo consenso degli interessati.
La banca dati come bene cedibile
Il giudice del rinvio dà per assunto che la banca dati interessata alla possibile esecuzione forzata sia una banca dati ai sensi della Direttiva 96/9 CE relativa alla tutela delle banche dati; il proprietario della banca dati e titolare del diritto d’autore detiene pertanto il diritto patrimoniale di cederla e, conseguentemente, il medesimo diritto patrimoniale può essere assoggettato a vendita forzata.
La liceità del trasferimento dei dati personali contenuti nella banca dati
Nell’ambito del procedimento di vendita forzata, l’ufficiale giudiziaria sequestra la banca dati e deve quanto meno accedervi ed estrarre i dati al fine di stimare il valore della banca dati stessa, per poi procedere al trasferimento in favore dell’acquirente.
L’ufficiale giudiziario, nell’esecuzione dei compiti propri del suo ufficio di conduzione dei procedimenti di esecuzione forzata, agisce in qualità di titolare del trattamento ai sensi dell’art. 4 del GDPR.
Il trattamento da parte dell’ufficiale giudiziario è lecito in quanto necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento (art. 6, comma 1 lettera e) GDPR).
Occorre però un passaggio ulteriore, in quanto il trattamento di dati personali effettuato dall’ufficiale giudiziario ai fini della vendita forzata differisce sostanzialmente dal trattamento inizialmente previsto da parte della società debitrice (consentire agli utenti l’utilizzo della piattaforma). E’ evidente che le due diverse finalità non possono essere ritenute compatibili perché prive di un nesso concreto, logico e sufficientemente stretto; è altresì vero, però, che la valutazione della compatibilità delle finalità è necessaria unicamente quando il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1 (art. 6, paragrafo 4 GDPR). Tra gli obiettivi elencati all’art. 23, comma 1 emerge alla lettera j) l’esecuzione delle azioni civili.
Quindi non devo effettuare una valutazione di compatibilità tra le finalità ma di proporzionalità.
Il trattamento dei dati effettuato dall’ufficiale giudiziario nell’ambito di una esecuzione civile appare proporzionato; il diritto alla protezione dei dati personali va infatti contemperato con altri diritti, tra cui il diritto di proprietà, la cui tutela viene appunto assicurata dalle normative nazionali in materia di esecuzione forzata.
Alcune osservazioni
Vedremo se la Corte di giustizia arriverà alle medesime conclusioni dell’avvocato generale.
In ogni caso, dalle argomentazioni logico giuridiche proposte dall’avvocato generale possiamo trarre alcuni spunti importanti.
Come sappiamo, i data set hanno un’importanza fondamentale in svariati settori dell’economia ma, in molti casi, non possono essere trasferiti perché, appunto, contengono dati personali e il consenso al trasferimento non è stato raccolto.
L’analisi svolta dall’avvocato generale, qualora confermata, potrebbe permettere di superare alcune situazioni che vedrebbero la cessione altrimenti vietata.
Da un altro punto di vista, gli ostacoli e le difficoltà legate alla vendita e quindi alla “monetizzazione” di una banca dati di dati personali devono spingere
- i costitutori della banca dati ad adottare sin dall’inizio della creazione del data set una serie di misure, quali, ad esempio, la raccolta del consenso al trasferimento e la corretta conservazione del consenso stesso
- i futuri acquirenti ad una valutazione della effettività alienabilità del data set che si accingono ad acquistare nonché ad una stima del valore dello stesso perché molti dati ivi contenuti potrebbero essere di fatto inutilizzabili.