GDPR: per l'Avv. Gen. una banca di dati personali può essere venduta senza consenso degli interessati se necessario per salvaguardare l'esecuzione di un’azione civile

Un giudice polacco è investito di una controversia tra una società e un membro del consiglio di amministrazione di un'altra società specializzata nella vendita online e nei confronti della quale la prima vanta un credito. Nel caso in cui la società debitrice non abbia attivi per soddisfare il credito della società creditrice può sorgere la responsabilità patrimoniale di tale membro. Quest'ultimo, tuttavia, ritiene che ciò non si verifichi, in quanto la società debitrice possiede, tra l'altro, due banche di dati di utenti della piattaforma online da essa creata. Le stesse contengono dati personali di centinaia di migliaia di persone, che non hanno acconsentito al trattamento dei loro dati sotto forma di messa a disposizione a terzi al di fuori di tale piattaforma. 

Nutrendo dubbi sulla questione se il regolamento generale sulla protezione dei dati (o GDPR; Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE) consenta a un ufficiale giudiziario, nell'ambito di un procedimento di esecuzione forzata, di vendere tali banche di dati senza il consenso delle persone interessate da detti dati, il giudice polacco si è rivolto alla Corte di giustizia.

Nelle sue conclusioni, l'Avvocato Generale Priit Pikamäe propone alla Corte di rispondere in senso affermativo.

A suo avviso, le operazioni effettuate dall'ufficiale giudiziario ai fini della stima del valore delle banche di dati considerate e della loro vendita all'asta rientrano nell'ambito di applicazione del GDPR. Infatti, tali operazioni includono quantomeno l'estrazione, la consultazione, l'uso e la messa a disposizione dell'acquirente dei dati personali e, di conseguenza, devono essere considerate come un «trattamento» di tali dati ai sensi di detto regolamento. Oltre a ciò, l'Avvocato Generale ritiene che l'ufficiale giudiziario debba essere qualificato come titolare di tale trattamento. 

Inoltre, l'Avvocato Generale ritiene che il trattamento in questione sia lecito quando è necessario per svolgere un compito rientrante nell'esercizio dei pubblici poteri di cui l'ufficiale giudiziario è investito.

Infine, l'Avvocato Generale constata che la finalità del trattamento effettuato dall'ufficiale giudiziario differisce dalla finalità iniziale di consentire l'utilizzo della piattaforma di vendita online considerata. Affinché tale ulteriore trattamento possa essere considerato compatibile con il GDPR, esso deve costituire una misura necessaria e proporzionata in una società democratica per conseguire uno degli obiettivi di interesse generale previsti da detto regolamento. Secondo l'Avvocato Generale, tra tali obiettivi, quello relativo all'esecuzione delle azioni civili può, in linea di principio, giustificare il trattamento di dati in questione nel caso di specie.

Egli sottolinea altresì che l'esame della proporzionalità, che spetta al giudice polacco, implica una ponderazione tra il diritto di proprietà della società creditrice e il diritto alla protezione dei dati personali degli utenti della piattaforma di vendita online considerata.