Indicazioni vincolanti in merito alla protezione dei dati
Una recente sentenza della corte di giustizia europea, che mettiamo in allegato a disposizione dei lettori, stabilisce ancora una volta che le pubbliche amministrazioni devono assumere un atteggiamento estremamente prudenziale, per quanto riguarda la diffusione di dati personali, che non siano strettamente necessari. È un concetto che purtroppo, ancora oggi, molte pubbliche amministrazioni non hanno ben recepito.
Il 4 ottobre 2024 la corte europea ha dato delle indicazioni vincolanti in merito alla protezione dei dati delle persone fisiche, nello specifico contesto del registro del commercio. Ciò non toglie che le indicazioni offerte siano di interesse assolutamente generale. Ecco le premesse.
In ogni stato membro dell’Unione Europea, esiste un registro centrale del commercio delle società, dove vengono riportate tutte le informazioni afferenti alle attività ed ai contratti gestiti delle società stesse. Tali documenti devono essere accessibili al pubblico.
Approfondimento della normativa ISO 11064 e altre norme per la progettazione delle sale di controllo, a cura di di Adalberto Biasiotti. |
Nel contempo, la gestione di questo registro deve essere tale da rispettare tutte le disposizioni specifiche del GDPR, ed in particolare adottare ogni cautela perché in tale registro non vengano inseriti dati non strettamente necessari per raggiungere le finalità del registro stesso.
L’inserimento nel registro contemplava anche inserimento del numero di carte identità, luogo e data di nascita del responsabile e la sua firma autografa. Tali dati quindi, erano messi a disposizione di tutti.
Il responsabile dell’azienda ha chiesto dopo due mesi di cancellare i dati di carattere personale; la pubblicazione di questi dati può essere basata solo sul consenso dato dal soggetto interessato al trattamento, oppure dal rispetto di disposizioni di legge. Il trattamento di dati di carattere personale per altre finalità, diverse da quelle sopraindicate, può essere autorizzato solo dietro consenso dell’interessato coinvolto.
Inoltre, in obbedienza all’articolo 17 del regolamento generale europeo, l’interessato coinvolto ha il diritto di ottenere dal responsabile del trattamento la cancellazione, quanto più tempestiva possibile, dei dati a carattere personale, quando essi non sono più necessari per soddisfare le finalità per cui vennero inseriti nel registro societario. La contestazione è stata sollevata da un’azienda a responsabilità limitata, secondo il diritto bulgaro, che è stata iscritta il 14 gennaio 2021 nel registro del commercio.
La iscrizione nel registro ha comportato l’inserimento del nome, cognome, numero di identificazione, carta d’identità, luogo e data di nascita e di consegna della carta identità e firma autografa del responsabile aziendale. A luglio 2021 il titolare dell’azienda ha chiesto l’agenzia di cancellare i dati di carattere personale, in assenza di suo specifico consenso.
A fronte di un comportamento passivo dell’ente pubblico, che gestiva il registro, la società si era attivata con una serie di contestazioni amministrative, fino a giungere all’attenzione della corte di giustizia europea.
Ecco la sintesi della sentenza della corte di giustizia europea.
La direttiva unione europea 2017 / 1132, afferente a certi aspetti dei diritti societari, deve essere interpretata nel senso che non è obbligatoria la pubblicità, nel registro del commercio, del contratto di una società, che contenga dati di carattere personale, salvo quelli minimi necessari per correttamente inquadrare il contratto.
L’autorità pubblica incaricata di gestire il registro del commercio non può rifiutare una richiesta di cancellazione di dati personali, non esplicitamente richiesti dalla direttiva o dal diritto dello Stato membro.
Si conferma che la firma manoscritta di una persona fisica appartiene senza alcun dubbio alla categoria dei dati di carattere personale.
La messa a disposizione del pubblico di dati personali non indispensabili, da parte della struttura pubblica che gestisce il registro societario, può creare un danno morale, che però deve essere dimostrato dall’interessato coinvolto.
L’articolo 82, comma 3 del regolamento generale europeo non esonera la responsabilità dell’autorità incaricate di gestire il registro del commercio dello Stato membro, in quanto essa opera come responsabile del trattamento, in conformità all’articolo 4, comma 7 dello stesso regolamento.
Si tratta di una interessantissima sentenza, che le pubbliche autorità italiane dovrebbero studiare attentamente per vedere se i registri societari, presenti in Italia, sono pienamente allineati con queste chiarissime e legittime indicazioni.
Vedi allegato(PDF)
Adalberto Biasiotti