Home

È necessario cancellare i dati sensibili non obbligatori dai contratti disponibili nei pubblici registri

08 Ottobre 2024

L’art. 21 §.2 Direttiva (UE) 2017/1132, relativa ad alcuni aspetti di diritto societario, deve essere interpretato nel senso che non impone ad uno Stato membro l’obbligo di consentire la pubblicità, nel registro del commercio, di un contratto di società soggetto alla pubblicità obbligatoria prevista da tale direttiva e contenente dati personali diversi dai dati personali minimi richiesti, la cui pubblicazione non è richiesta dal diritto di tale Stato membro.

Il GDPR ed in particolare l'art. 4, punti 7 e 9 dello stesso, «deve essere interpretato nel senso che l'autorità responsabile della tenuta del registro del commercio di uno Stato membro che pubblica, in tale registro, i dati personali contenuti in un contratto di società soggetto all'obbligo di pubblicità previsto dalla direttiva 2017/1132, che le è stato trasmesso nell'ambito di una domanda di iscrizione della società in questione nel suddetto registro, è tanto «destinatario» di tali dati quanto, soprattutto nei limiti in cui li mette a disposizione del pubblico, “titolare del trattamento” di detti dati, ai sensi di tale disposizione, anche qualora tale contratto contenga dati personali non richiesti da tale direttiva o dal diritto di tale Stato membro.  La direttiva 2017/1132, in particolare il suo artt. 16 e  l'17 GDPR  devono essere interpretati nel senso che ostano a una normativa o a una prassi di uno Stato membro che conduca l'autorità responsabile della tenuta del registro del commercio di tale Stato membro a respingere qualsiasi domanda di cancellazione di dati personali, non richiesti da tale direttiva o dal diritto di detto Stato membro, contenuti in un contratto di società pubblicato in detto registro, qualora non sia stata fornita a tale autorità una copia di detto contratto che ometta siffatti dati, contrariamente a quanto previsto nelle modalità procedurali stabilite dalla normativa stessa» (neretto,nda).

Queste sono alcune delle massime della EU:C:2024:827,C-200/23 del 4 ottobre 2024.

Una socia di una società chiedeva all'Agenzia responsabile delle iscrizioni nei registri (sostanzialmente equivalente alla nostra Camera di Commercio) di cancellare alcuni suoi dati personali dal contratto societario pubblicato nei suoi pubblici registri. Infatti, per legge, il contratto di società, con cui era fondata la srl di cui era socia, era pubblicato nei registri del commercio. Esso conteneva il cognome e il nome, il numero di identificazione, il numero della carta d'identità, la data e il luogo di emissione di quest'ultima, il suo indirizzo e la sua firma: la ricorrente revocava il consenso alla loro pubblicità. Dopo una lunga battaglia legale, l'Agenzia ha cancellato d'ufficio il numero di identificazione, i dati relativi alla carta d'identità e l'indirizzo, ma non gli altri. Il giudice di rinvio avendo dubbi su quali dati potessero effettivamente resi pubblici in quanto contenuti in un contratto societario soggetto a registrazione e messa a disposizione del pubblico ha sollevato una complessa pregiudiziale risolta dalla CGUE come in epigrafe.

Quali dati sono pubblicabili ed accessibili?

Lo scopo di questi registri del commercio o delle imprese che ogni Stato ha l'obbligo di istituire è quello di rendere accessibile al pubblico talune informazioni indicate all'art. 14, tra cui l'atto costitutivo, lo statuto, ogni loro modifica, «la nomina, la cessazione dalle funzioni nonché le generalità delle persone che, in quanto organo previsto per legge o membri di tale organo: i) hanno il potere di obbligare la società di fronte ai terzi e di rappresentarla in giudizio; le misure di pubblicità precisano se le persone che hanno il potere di obbligare la società possano agire da sole o siano tenute ad agire congiuntamente; ii) partecipano all'amministrazione, alla vigilanza o al controllo della società». Ogni altra informazione che non è obbligatoria deve essere omessa. Ai sensi dell'art.16 Direttiva 2017/1132 tali atti, documenti e quanto elencato dall'art.14 sono soggetti a pubblicità obbligatoria e possono «essere accessibili mediante l'ottenimento di una copia integrale o parziale su richiesta e formare oggetto di una pubblicità garantita dalla pubblicazione, integrale o per estratto, ovvero sotto forma di menzione, nel bollettino nazionale, o mediante una misura di effetto equivalente». Inoltre, «le indicazioni obbligatorie da fornire nell'atto costitutivo che forma oggetto di una pubblicità comprendono le generalità delle persone fisiche o giuridiche o delle società che hanno sottoscritto o in nome delle quali è stato sottoscritto tale atto».

Il diritto di accesso a tali dati può essere anche transfrontaliero, autorizzando, su base volontaria dei singoli paesi interessati (hanno ampio margine discrezionale in materia), anche la traduzione in altre lingue consentite. Dall'esegesi autentica e restrittiva degli artt. 14, 16 e 21 Direttiva 2017/1132 si evince che possono essere pubblicati solo e soltanto i dati ritenuti obbligatori da queste disposizioni ed eventuali loro traduzioni su base volontaria, su tutti gli altri non vige alcun onere di pubblicità, perciò possono e devono essere omessi. Come sopra detto l'ente che tiene questi registri è sia destinatario che responsabile del trattamento di tali dati. Si noti che la pubblicazione di questi dati personali obbligatori e di quelli supplementari relativi «alle generalità di dette persone o di altre categorie di persone che gli Stati membri decidono di assoggettare alla pubblicità obbligatoria, o che, come nel caso di specie, figurano negli atti soggetti a tale pubblicità senza che la messa a disposizione di tali dati sia richiesta dalla direttiva 2017/1132 o dal diritto nazionale che attua tale direttiva» svolgono anche una funzione di garantire i diritti di informazione dei terzi e di accesso per  facilitare eventuali diritti di difesa, la trasparenza etc.

Doveri dell'Authority

Appurato che l'Agenzia è titolare del trattamento e l'irrilevanza che abbia omesso di oscurare i dati non necessari per qualificarla tale, è chiaro che abbia tutti i diritti e doveri riconosciuti a tale ruolo. In particolar modo il titolare deve effettuare un trattamento quando è necessario per l'esecuzione di un compito pubblico o l'esercizio di un pubblico potere come nella fattispecie. «Tale requisito di necessità non è soddisfatto quando l'obiettivo di interesse generale considerato può ragionevolmente essere raggiunto in modo altrettanto efficace mediante altri mezzi meno pregiudizievoli per i diritti fondamentali degli interessati, in particolare per i diritti al rispetto della vita privata e alla protezione dei diritti personali garantiti agli articoli 7 e 8 della Carta, atteso che le deroghe e le restrizioni al principio della protezione di simili dati devono avere luogo nei limiti dello stretto necessario». Da ciò discende che l'Agenzia, se può redigere essa stessa una copia dell'atto da cui siano espunti i dati personali non soggetti ad obbligatoria pubblicazione, non può sottrarsi a tale onere. In breve per la CGUE gli artt. 16 della Direttiva e 17 GDPR «ostano a una normativa o a una prassi di uno Stato membro che conduca l'autorità responsabile della tenuta del registro del commercio di tale Stato membro a respingere qualsiasi domanda di cancellazione di dati personali, non richiesti da tale direttiva o dal diritto di detto Stato membro, contenuti in un contratto di società pubblicato in detto registro, qualora non sia stata fornita a tale autorità una copia di detto contratto che ometta siffatti dati, contrariamente a quanto previsto nelle modalità procedurali stabilite dalla normativa stessa».

Risarcimento del danno immateriale

In base alla prassi recente e consolidata sull'art.82 GDPR che regola il risarcimento per violazione dello stesso «una perdita del controllo di durata limitata, da parte dell'interessato, sui suoi dati personali, a causa della messa a disposizione del pubblico di tali dati, online, nel registro del commercio di uno Stato membro, può essere sufficiente a cagionare un «danno immateriale», purché tale persona dimostri di aver effettivamente subìto un siffatto danno, per quanto minimo, senza che tale nozione di «danno immateriale» richieda la dimostrazione che sussistono ulteriori conseguenze negative tangibili». Orbene è pacifico che l'Agenzia quale Authority abbia poteri correttivi, ispettivi ed autorizzativi che non sono stati esercitati nella fattispecie, poiché non si è posto rimedio alcuno alla violazione della privacy della ricorrente né è stato dato seguito alla revoca dell'autorizzazione al trattamento dei dati contestati. Inoltre, l'esercizio di un potere consultivo o la richiesta di un parere al Garante della privacy, in quanto non giuridicamente vincolante, non esonera l'Agenzia, quale titolare del trattamento dei dati, dalla responsabilità per il lamentato danno immateriale. Per completezza d'informazione sempre il 4 ottobre la CGUE ha pubblicato un'altra interessante sentenza (EU:C:2024:854, C-507/23) sulle modalità di risarcimento di questo danno, che ha funzione compensativa e non punitiva/sanzionatoria, chiarendone alcuni aspetti e stabilendo che «la presentazione di scuse può costituire un risarcimento adeguato di un danno immateriale sul fondamento di tale disposizione (art.82 GDPR, nda), segnatamente qualora sia impossibile ripristinare la situazione anteriore al verificarsi del danno, a condizione che detta forma di risarcimento sia tale da compensare integralmente il danno subito dall'interessato» (neretto, nda).

(Fonte: Diritto e Giustizia)

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.