201510.01
0

Corte di Giustizia UE, Terza Sezione, 1° ottobre 2015, causa C‑201/14, Smaranda Bara e a. (testo)

SENTENZA DELLA CORTE (Terza Sezione)

1° ottobre 2015 (*)

«Rinvio pregiudiziale – Direttiva 95/46/CE – Trattamento dei dati personali – Articoli 10 e 11 – Informazione delle persone interessate – Articolo 13 – Deroghe e restrizioni – Trasmissione a fini di trattamento, da un’amministrazione pubblica di uno Stato membro ad un’altra, di dati fiscali personali»

Nella causa C‑201/14,

avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dalla Curtea de Apel Cluj (Romania), con decisione del 31 marzo 2014, pervenuta in cancelleria il 22 aprile 2014, nel procedimento

Smaranda Bara e altri

contro

Președintele Casei Naționale de Asigurări de Sănătate,

Casa Naţională de Asigurări de Sănătate,

Agenţia Naţională de Administrare Fiscală (ANAF),

LA CORTE (Terza Sezione),

composta da M. Ilešič, presidente di sezione, A. Ó Caoimh, C. Toader, E. Jarašiūnas e C.G. Fernlund (relatore), giudici,

avvocato generale: P. Cruz Villalón

cancelliere: L. Carrasco Marco, amministratore

vista la fase scritta del procedimento e in seguito all’udienza del 29 aprile 2015,

considerate le osservazioni presentate:

–        per S. Bara e a., da C.F. Costaş e K. Kapcza, avocați;

–        per la Casa Naţională de Asigurări de Sănătate, da V. Ciurchea, in qualità di agente;

–        per il governo rumeno, da R.H. Radu, A. Buzoianu, A.-G. Văcaru e D.M. Bulancea, in qualità di agenti;

–        per il governo ceco, da M. Smolek e J. Vláčil, in qualità di agenti;

–        per la Commissione europea, da I. Rogalski, B. Martenczuk e J. Vondung, in qualità di agenti,

sentite le conclusioni dell’avvocato generale, presentate all’udienza del 9 luglio 2015,

ha pronunciato la seguente

Sentenza

1        La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 124 TFUE nonché degli articoli 10, 11 e 13 della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281, pag. 31).

2        Tale domanda è stata sollevata nell’ambito di una controversia tra la sig.ra Bara e a., da un lato, e il Președintele Casei Naționale de Asigurări de Sănătate (presidente della Cassa nazionale malattia), la Casa Națională de Asigurări de Sănătate (Cassa nazionale malattia; in prosieguo: la «CNAS») e l’Agenția Națională de Administrare Fiscală (Agenzia nazionale per l’amministrazione tributaria; in prosieguo: l’«ANAF»), dall’altro, a proposito del trattamento di determinati dati.

 Contesto normativo

 Il diritto dell’Unione

3        Ai sensi dell’articolo 2 della direttiva 95/46, rubricato «Definizioni»:

«Ai fini della presente direttiva si intende per:

a)      “dati personali”: qualsiasi informazione concernente una persona fisica identificata o identificabile (“persona interessata”); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale;

b)      “trattamento di dati personali” (“trattamento”): qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione;

c)      “archivio di dati personali” (“archivio”): qualsiasi insieme strutturato di dati personali accessibili, secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

d)      “responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. Quando le finalità e i mezzi del trattamento sono determinati da disposizioni legislative o regolamentari nazionali o comunitarie, il responsabile del trattamento o i criteri specifici per la sua designazione possono essere fissati dal diritto nazionale o comunitario;

(…)».

4        L’articolo 3 della medesima direttiva, rubricato «Campo d’applicazione», è così formulato:

«1.      Le disposizioni della presente direttiva si applicano al trattamento di dati personali interamente o parzialmente automatizzato nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi.

2.      Le disposizioni della presente direttiva non si applicano ai trattamenti di dati personali:

–        effettuati per l’esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del trattato sull’Unione europea e comunque ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale;

–        effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico».

5        L’articolo 6 della direttiva in parola, vertente sui principi relativi alla qualità dei dati, dispone quanto segue:

«1.      Gli Stati membri dispongono che i dati personali devono essere:

a)      trattati lealmente e lecitamente;

b)      rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità. Il trattamento successivo dei dati per scopi storici, statistici o scientifici non è ritenuto incompatibile, purché gli Stati membri forniscano garanzie appropriate;

c)      adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati e/o per le quali vengono successivamente trattati;

d)      esatti e, se necessario, aggiornati; devono essere prese tutte le misure ragionevoli per cancellare o rettificare i dati inesatti o incompleti rispetto alle finalità per le quali sono rilevati o sono successivamente trattati, cancellati o rettificati;

e)      conservati in modo da consentire l’identificazione delle persone interessate per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati o sono successivamente trattati. Gli Stati membri prevedono garanzie adeguate per i dati personali conservati oltre il suddetto arco di tempo per motivi storici, statistici o scientifici.

2.      Il responsabile del trattamento garantisce il rispetto delle disposizioni del paragrafo 1».

6        L’articolo 7 della summenzionata direttiva, vertente sui principi relativi alla legittimazione del trattamento di dati, stabilisce che:

«Gli Stati membri dispongono che il trattamento di dati personali può essere effettuato soltanto quando:

a)      la persona interessata ha manifestato il proprio consenso in maniera inequivocabile, oppure

b)      è necessario all’esecuzione del contratto concluso con la persona interessata o all’esecuzione di misure precontrattuali prese su richiesta di tale persona, oppure

c)      è necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento, oppure

d)      è necessario per la salvaguardia dell’interesse vitale della persona interessata, oppure

e)      è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il responsabile del trattamento o il terzo a cui vengono comunicati i dati, oppure

f)      è necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell’articolo 1, paragrafo 1».

7        L’articolo 10 della direttiva 95/46, rubricato «Informazione in caso di raccolta dei dati presso la persona interessata», recita:

«Gli Stati membri dispongono che il responsabile del trattamento, o il suo rappresentante, debba fornire alla persona presso la quale effettua la raccolta dei dati che la riguardano almeno le informazioni elencate qui di seguito, a meno che tale persona ne sia già informata:

a)      l’identità del responsabile del trattamento ed eventualmente del suo rappresentante,

b)      le finalità del trattamento cui sono destinati i dati;

c)      ulteriori informazioni riguardanti quanto segue:

–        i destinatari o le categorie di destinatari dei dati,

–        se rispondere alle domande è obbligatorio o volontario, nonché le possibili conseguenze di una mancata risposta,

–        se esistono diritti di accesso ai dati e di rettifica in merito ai dati che la riguardano

nella misura in cui, in considerazione delle specifiche circostanze in cui i dati vengono raccolti, tali informazioni siano necessarie per effettuare un trattamento leale nei confronti della persona interessata».

8        L’articolo 11 di detta direttiva, rubricato «Informazione in caso di dati non raccolti presso la persona interessata», è così formulato:

«1.      In caso di dati non raccolti presso la persona interessata, gli Stati membri dispongono che, al momento della registrazione dei dati o qualora sia prevista una comunicazione dei dati a un terzo, al più tardi all’atto della prima comunicazione dei medesimi, il responsabile del trattamento o il suo rappresentante debba fornire alla persona interessata almeno le informazioni elencate qui di seguito, a meno che tale persona ne sia già informata:

a)      l’identità del responsabile del trattamento ed eventualmente del suo rappresentante,

b)      le finalità del trattamento;

c)      ulteriori informazioni riguardanti quanto segue:

–        le categorie di dati interessate,

–        i destinatari o le categorie di destinatari dei dati,

–        se esiste un diritto di accesso ai dati e di rettifica in merito ai dati che la riguardano,

      nella misura in cui, in considerazione delle specifiche circostanze in cui i dati vengono raccolti, tali informazioni siano necessarie per effettuare un trattamento leale nei confronti della persona interessata.

2.      Le disposizioni del paragrafo 1 non si applicano quando, in particolare nel trattamento di dati a scopi statistici, o di ricerca storica o scientifica, l’informazione della persona interessata si rivela impossibile o richiede sforzi sproporzionati o la registrazione o la comunicazione è prescritta per legge. In questi casi gli Stati membri prevedono garanzie appropriate».

9        Ai sensi dell’articolo 13 della medesima direttiva, rubricato «Deroghe e restrizioni»:

«1.      Gli Stati membri possono adottare disposizioni legislative intese a limitare la portata degli obblighi e dei diritti previsti dalle disposizioni dell’articolo 6, paragrafo 1, dell’articolo 10, dell’articolo 11, paragrafo 1[,] e degli articoli 12 e 21, qualora tale restrizione costituisca una misura necessaria alla salvaguardia:

a)      della sicurezza dello Stato;

b)      della difesa;

c)      della pubblica sicurezza;

d)      della prevenzione, della ricerca, dell’accertamento e del perseguimento di infrazioni penali o di violazioni della deontologia delle professioni regolamentate;

e)      di un rilevante interesse economico o finanziario di uno Stato membro o dell’Unione europea, anche in materia monetaria, di bilancio e tributaria;

f)      di un compito di controllo, ispezione o disciplina connesso, anche occasionalmente, con l’esercizio dei pubblici poteri nei casi di cui alle lettere c), d) ed e);

g)      della protezione della persona interessata o dei diritti e delle libertà altrui.

2.      Fatte salve garanzie legali appropriate, che escludano in particolare che i dati possano essere utilizzati a fini di misure o di specifiche decisioni che si riferiscono a persone, gli Stati membri possono, nel caso in cui non sussista manifestamente alcun rischio di pregiudizio alla vita privata della persona interessata, limitare con un provvedimento legislativo i diritti di cui all’articolo 13 qualora i dati siano trattati esclusivamente ai fini della ricerca scientifica o siano memorizzati sotto forma di dati personali per un periodo che non superi quello necessario alla sola finalità di elaborazione delle statistiche».

 Il diritto rumeno

 La legge n. 95/2006

10      Si apprende dalla decisione di rinvio che l’articolo 215 della legge n. 95/2006, sulla riforma del settore sanitario (Legea nr. 95/2006 privind reforma în domeniul sănătății), del 14 aprile 2006 (Monitorul Oficial al României, parte I, n. 372, del 28 aprile 2006), prevede quanto segue:

«(1)      L’obbligo di versare il contributo per l’assicurazione malattia incombe alla persona fisica o giuridica che assume persone sulla base di un contratto individuale di lavoro oppure di uno statuto speciale previsto dalla legge, nonché, eventualmente, alle persone fisiche.

(2)      Le persone giuridiche o fisiche per le quali gli assicurati svolgono le loro attività sono tenute a presentare con cadenza mensile alle casse malattia liberamente scelte dagli assicurati dichiarazioni nominali sugli obblighi ad esse incombenti nei confronti del fondo e la prova dell’avvenuto pagamento dei contributi.

(…)».

11      L’articolo 315 di tale legge così recita:

«I dati necessari per accertare la qualità di assicurato sono trasmessi gratuitamente alle casse malattia dalle autorità, dalle istituzioni pubbliche o dalle altre istituzioni su base di protocollo».

 L’ordinanza del presidente della CNAS n. 617/2007

12      L’articolo 35 dell’ordinanza del presidente della CNAS n. 617/2007, del 13 agosto 2007, recante approvazione delle norme per l’individuazione dei documenti giustificativi dell’acquisizione della qualità di assicurato o di assicurato non contribuente e per l’applicazione delle misure coattive di recupero delle somme dovute al Fondo nazionale unico di previdenza sociale (Monitorul Oficial al României, parte I, n. 649, del 24 settembre 2007), enuncia:

«(…) per gli obblighi di versamento al fondo a carico delle persone fisiche che sottoscrivono un contratto di assicurazione, diverse da quelle per le quali l’esazione fiscale viene effettuata dall’ANAF, costituiscono titolo di debito, a seconda dei casi, la dichiarazione (…), l’avviso di accertamento emesso dall’organo competente della CAS [cassa malattia], nonché le decisioni giudiziarie sui crediti del fondo. L’avviso di accertamento può essere emesso dall’organo competente della CAS anche sulla scorta delle informazioni trasmesse dall’ANAF su base di protocollo».

 Il protocollo del 2007

13      A termini dell’articolo 4 del protocollo P 5282/26.10.2007/95896/30.10.2007 stipulato tra la CNAS e l’ANAF (in prosieguo: il «protocollo del 2007»):

«Dopo l’entrata in vigore del presente protocollo, l’[ANAF], tramite le pertinenti strutture subordinate, fornirà in formato elettronico la base di dati iniziale riguardante:

a.      i redditi delle persone appartenenti alle categorie di cui all’articolo l, paragrafo l, del presente protocollo e, con cadenza trimestrale, l’aggiornamento di tale base di dati, alla [CNAS], su supporto compatibile con il trattamento automatizzato, conformemente all’allegato l al presente protocollo (…)

(…)».

 Procedimento principale e questioni pregiudiziali

14      I ricorrenti nel procedimento principale percepiscono reddito da lavoro autonomo. L’ANAF ha trasmesso alla CNAS i dati relativi ai loro redditi dichiarati. Sulla base di tali dati la CNAS ha richiesto il pagamento di contributi per l’assicurazione malattia arretrati.

15      Detti ricorrenti hanno adito la Curtea de Apel Cluj (Corte di appello di Cluj) contestando la legittimità ex direttiva 95/46 della trasmissione dei dati fiscali relativi ai loro redditi. A loro avviso, tali dati personali sarebbero stati trasmessi e utilizzati, in base a un semplice protocollo interno, per finalità diverse da quelle per cui erano stati inizialmente comunicati all’ANAF, senza il consenso espresso degli interessati e senza che essi ne fossero previamente informati.

16      Si apprende dalla decisione di rinvio che le entità pubbliche sono autorizzate dalla legge n. 95/2006 a trasmettere dati personali alle casse malattia perché queste ultime possano accertare la qualità di assicurato delle persone interessate, vale a dire i dati identificativi della persona (nome, cognome, codice identificativo, indirizzo), ma non i dati relativi al reddito percepito.

17      Il giudice remittente domanda se il trattamento dei dati da parte della CNAS necessitasse l’informazione preventiva delle persone interessate quanto all’identità del responsabile del trattamento e all’obiettivo in vista del quale avveniva la trasmissione. Detto giudice si domanda pure se la trasmissione dei dati sulla base del protocollo del 2007 sia contraria alle disposizioni della direttiva 95/46 ai sensi delle quali ogni restrizione ai diritti delle persone interessate deve essere prevista dalla legge e corredata di appropriate garanzie, specie se i dati sono utilizzati contro dette persone.

18      Alla luce di quanto sopra, la Curtea de Apel Cluj ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1)      Se l’autorità tributaria nazionale, in qualità di rappresentante del ministero competente di uno Stato membro, sia un’istituzione finanziaria ai sensi dell’articolo 124 TFUE.

2)      Se sia possibile regolamentare mediante un atto assimilato agli atti amministrativi, nella fattispecie un protocollo stipulato tra l’amministrazione tributaria nazionale e un’altra istituzione dello Stato, la trasmissione della base di dati relativa ai redditi dei cittadini di uno Stato membro dall’amministrazione tributaria a un’altra istituzione dello stesso Stato senza che si configuri un accesso privilegiato, quale definito dall’articolo 124 TFUE.

3)      Se la trasmissione della base di dati finalizzata a imporre a cittadini dello Stato membro obblighi di pagamento a titolo di contributo previdenziale, nei confronti dell’istituzione dello Stato membro a beneficio della quale si esegue il trasferimento, rientri nella nozione di “considerazion[e] prudenzial[e]” ai sensi dell’articolo 124 TFUE.

4)      Se i dati personali possano essere oggetto di trattamento da parte di autorità a cui non erano destinati, qualora una tale operazione arrechi, retroattivamente, un danno patrimoniale».

 Sulle questioni pregiudiziali

 Sulla ricevibilità

 Sulla ricevibilità delle questioni dalla prima alla terza

19      Secondo giurisprudenza costante, la Corte può rifiutarsi di statuire su una questione pregiudiziale sollevata da un giudice nazionale qualora risulti manifestamente che la richiesta interpretazione del diritto dell’Unione non ha alcuna relazione con la realtà o con l’oggetto del procedimento principale, qualora il problema sia di natura ipotetica oppure qualora la Corte non disponga degli elementi di fatto o di diritto necessari per fornire una soluzione utile alle questioni che le sono sottoposte (v. sentenza PreussenElektra, C‑379/98, EU:C:2001:160, punto 39 e giurisprudenza ivi citata).

20      Tutte le osservazioni presentate alla Corte sono nel senso di considerare irricevibili le questioni pregiudiziali dalla prima alla terza, relative all’interpretazione dell’articolo 124 TFUE, in quanto non correlate con l’oggetto del procedimento principale.

21      Al riguardo occorre rammentare che l’articolo 124 TFUE, compreso nel titolo VIII della Parte terza del Trattato FUE, relativo alla politica economica e monetaria, vieta qualsiasi misura, non basata su considerazioni prudenziali, che offra alle istituzioni, agli organi o agli organismi dell’Unione, alle amministrazioni statali, agli enti regionali, locali o altri enti pubblici, ad altri organismi di diritto pubblico o a imprese pubbliche degli Stati membri un accesso privilegiato alle istituzioni finanziarie.

22      Tale divieto trova origine nell’articolo 104 A del Trattato CE (divenuto articolo 102 CE), inserito nel Trattato CE dal Trattato di Maastricht, e fa parte delle disposizioni del Trattato FUE sulla politica economica che mirano a incitare gli Stati membri a rispettare una sana politica di bilancio, evitando che un finanziamento monetario dei disavanzi pubblici o un accesso privilegiato delle autorità pubbliche ai mercati finanziari conduca a un indebitamento eccessivo o a disavanzi eccessivi degli Stati membri (v., in tal senso, sentenza Gauweiler e a., C‑62/14, EU:C:2015:400, punto 100).

23      È dunque manifesto che l’interpretazione dell’articolo 124 TFUE richiesta non ha alcuna relazione con la realtà o con l’oggetto del procedimento principale, vertente sulla tutela dei dati personali.

24      Ne consegue che non è necessario rispondere alle questioni dalla prima alla terza.

 Sulla ricevibilità della quarta questione

25      Secondo la CNAS e il governo rumeno, la quarta questione è irricevibile. Detto governo sostiene che non sussiste alcun nesso tra il danno evocato dai ricorrenti nel procedimento principale e l’annullamento degli atti amministrativi impugnati nell’ambito del procedimento principale.

26      Ebbene, occorre ricordare che, secondo una giurisprudenza costante della Corte, le questioni d’interpretazione del diritto dell’Unione sollevate dal giudice nazionale nel contesto di diritto e di fatto che egli individua sotto la propria responsabilità, e del quale non spetta alla Corte verificare l’esattezza, godono di una presunzione di rilevanza. Il rifiuto della Corte di statuire su una domanda di pronuncia pregiudiziale proposta da un giudice nazionale è possibile solo qualora risulti manifestamente che la richiesta interpretazione del diritto dell’Unione non ha alcuna relazione con la realtà o con l’oggetto del procedimento principale, qualora il problema sia di natura ipotetica oppure qualora la Corte non disponga degli elementi di fatto o di diritto necessari per fornire una soluzione utile alle questioni che le sono sottoposte (sentenza Fish Legal e Shirley, C‑279/12, EU:C:2013:853, punto 30 e giurisprudenza ivi citata).

27      Occorre rilevare che il procedimento principale verte sulla legittimità del trattamento dei dati fiscali raccolti dall’ANAF. Il giudice remittente s’interroga sull’interpretazione delle disposizioni della direttiva 95/46, nell’ambito del controllo della legittimità della trasmissione di detti dati alla CNAS e del loro susseguente trattamento. La quarta questione pregiudiziale è dunque pertinente e sufficientemente precisa perché la Corte le fornisca utile soluzione. Pertanto, riguardo alla quarta questione, la domanda di pronuncia pregiudiziale deve essere considerata ricevibile.

 Nel merito

28      Con la quarta questione il giudice remittente domanda, in sostanza, se gli articoli 10, 11 e 13 della direttiva 95/46 debbano essere interpretati nel senso che essi ostano a misure nazionali, come quelle di cui trattasi nel procedimento principale, che consentono a un’amministrazione pubblica di uno Stato membro di trasmettere dati personali a un’altra amministrazione pubblica, a fini di trattamento, senza che le persone interessate siano state informate né di tale trasmissione né del successivo trattamento.

29      Al riguardo si deve constatare, sulla base delle indicazioni fornite dal giudice remittente, che i dati fiscali trasmessi alla CNAS dall’ANAF costituiscono dati personali ai sensi dell’articolo 2, lettera a), della direttiva 95/46, poiché si tratta di «informazion[i] concernent[i] una persona fisica identificata o identificabile» (sentenza Satakunnan Markkinapörssi e Satamedia, C‑73/07, EU:C:2008:727, punto 35). La loro trasmissione da parte dell’ANAF, organismo incaricato della gestione della base di dati che li contiene, e il loro susseguente trattamento da parte della CNAS presentano pertanto carattere di «trattamento di dati personali» ai sensi dell’articolo 2, lettera b), della stessa direttiva (v. in tal senso, in particolare, sentenze Österreichischer Rundfunk e a., C‑465/00, C‑138/01 e C‑139/01, EU:C:2003:294, punto 64, nonché Huber, C‑524/06, EU:C:2008:724, punto 43).

30      Ai sensi del capo II della direttiva 95/46, intitolato «Condizioni generali di liceità dei trattamenti di dati personali», fatte salve le deroghe ammesse dall’articolo 13 di tale direttiva, qualsiasi trattamento di dati personali deve essere conforme, da un lato, ai principi relativi alla qualità dei dati enunciati all’articolo 6 di quest’ultima e, dall’altro, a uno dei principi relativi alla legittimazione del trattamento dei dati elencati all’articolo 7 della stessa direttiva (sentenze Österreichischer Rundfunk e a., C‑465/00, C‑138/01 e C‑139/01, EU:C:2003:294, punto 65; Huber, C‑524/06, EU:C:2008:724, punto 48, nonché ASNEF e FECEMD, C‑468/10 e C‑469/10, EU:C:2011:777, punto 26).

31      Inoltre, il responsabile del trattamento dei dati, o il suo rappresentante, è soggetto a un obbligo d’informazione le cui modalità, enunciate agli articoli 10 e 11 della direttiva 95/46, variano a seconda che i dati siano, o non siano, stati raccolti presso la persona interessata, fatte salve le deroghe ammesse ai sensi dell’articolo 13 della medesima direttiva.

32      Quanto, in primo luogo, all’articolo 10 di detta direttiva, esso dispone che il responsabile del trattamento fornisca alla persona presso la quale rileva i dati che la riguardano le informazioni elencate allo stesso articolo 10, lettere da a) a c), a meno che tale persona ne sia già informata. Tali informazioni attengono all’identità del responsabile del trattamento dei dati, alle finalità del trattamento e a ogni altra informazione necessaria per effettuare un trattamento leale dei dati. Tra dette informazioni supplementari necessarie ad assicurare un trattamento leale dei dati, detto articolo 10, lettera c), menziona esplicitamente «i destinatari o le categorie di destinatari dei dati» e «se esiste un diritto di accesso ai dati e di rettifica in merito ai dati che (…) riguardano [la persona interessata]».

33      Come ha osservato l’avvocato generale al paragrafo 74 delle conclusioni, tale obbligo di informare le persone interessate dal trattamento dei loro dati personali è ancora più rilevante poiché condiziona necessariamente l’esercizio da parte loro dei diritti, da un lato, di accesso ai dati trattati e della rispettiva rettifica, sancito all’articolo 12 della direttiva 95/46, e, dall’altro, di opposizione al trattamento dei medesimi, sancito all’articolo 14 della stessa direttiva.

34      Ne consegue che la condizione del trattamento leale dei dati personali prevista all’articolo 6 della direttiva 95/46 obbliga un’amministrazione pubblica a informare le persone interessate della trasmissione di tali dati a un’altra amministrazione pubblica che li tratterà in qualità di destinataria di detti dati.

35      Risulta dalle spiegazioni del giudice remittente che i ricorrenti nel procedimento principale non sono stati informati dall’ANAF della trasmissione alla CNAS dei dati personali loro relativi.

36      Il governo rumeno fa tuttavia presente che l’ANAF ha l’obbligo, segnatamente ai sensi dell’articolo 315 della legge n. 95/2006, di trasmettere alle casse malattia regionali le informazioni necessarie all’accertamento da parte della CNAS della qualità di assicurato delle persone che percepiscono redditi da lavoro autonomo.

37      Vero è che l’articolo 315 della legge n. 95/2006 prevede espressamente che «[i] dati necessari per accertare la qualità di assicurato s[ia]no trasmessi gratuitamente alle casse malattia dalle autorità, dalle istituzioni pubbliche e dalle altre istituzioni su base di protocollo». Tuttavia, si evince dalle spiegazioni fornite dal giudice remittente che i dati necessari all’accertamento della qualità di assicurato, ai sensi di detta disposizione, non includono quelli relativi ai redditi e che la legge riconosce la qualità di assicurato anche alle persone senza redditi imponibili.

38      Ciò considerato, l’articolo 315 della legge n. 95/2006 non può costituire, ai sensi dell’articolo 10 della direttiva 95/46, un’informazione preventiva che consente di dispensare il responsabile del trattamento dall’obbligo di informare le persone, presso le quali raccoglie i dati di reddito, dei destinatari dei medesimi dati. Ne consegue che la trasmissione di cui trattasi non può essere considerata avvenuta in conformità delle disposizioni dell’articolo 10 della direttiva 95/46.

39      Occorre esaminare se tale assenza d’informazione delle persone interessate possa rientrare nell’ambito di applicazione dell’articolo 13 di detta direttiva. Risulta, infatti, dal paragrafo 1, lettere e) e f), di detto articolo 13 che gli Stati membri possono limitare la portata degli obblighi e dei diritti previsti dalle disposizioni dell’articolo 10 della stessa direttiva qualora tale restrizione costituisca una misura necessaria alla salvaguardia «di un rilevante interesse economico o finanziario di uno Stato membro (…) anche in materia monetaria, di bilancio e tributaria» o «di un compito di controllo, ispezione o disciplina connesso, anche occasionalmente, con l’esercizio dei pubblici poteri nei casi di cui alle lettere c), d) ed e)». Tuttavia, detto articolo 13 richiede espressamente che tali restrizioni siano adottate a mezzo legge.

40      Orbene, oltre alla circostanza, rilevata dal giudice remittente, secondo la quale i dati di reddito non fano parte dei dati personali necessari all’accertamento della qualità di assicurato, si deve sottolineare che l’articolo 315 della legge n. 95/2006 semplicemente prevede, in linea di principio, la trasmissione di detti dati personali detenuti da autorità, da istituzioni pubbliche o da altre istituzioni. Si apprende altresì dalla decisione di rinvio che la definizione delle informazioni trasmissibili e le modalità di attuazione della trasmissione di tali informazioni sono state elaborate per mezzo non di una misura legislativa, bensì del protocollo del 2007, stipulato tra l’ANAF e la CNAS, il quale non sarebbe stato mai pubblicato ufficialmente.

41      In tali circostanze, non si può ritenere che le condizioni stabilite dall’articolo 13 della direttiva 95/46 perché uno Stato membro possa derogare ai diritti e agli obblighi che discendono dall’articolo 10 di questa stessa direttiva siano soddisfatte.

42      Quanto, in secondo luogo, all’articolo 11 di detta direttiva, esso prescrive, al paragrafo 1, che il responsabile del trattamento di dati non raccolti presso la persona interessata fornisca a quest’ultima le informazioni elencate alle lettere da a) a c). Tali informazioni riguardano l’identità del responsabile di detto trattamento, le finalità del trattamento e ogni altra informazione necessaria per effettuare un trattamento leale dei dati. Tra dette informazioni supplementari, l’articolo 11, paragrafo 1, lettera c), della stessa direttiva menziona esplicitamente «le categorie di dati interessate» e «se esiste un diritto di accesso ai dati e di rettifica in merito ai dati che (…) riguardano [la persona interessata]».

43      Ne consegue che, conformemente all’articolo 11, paragrafo 1, lettere b) e c), della direttiva 95/46, nelle circostanze del procedimento principale il trattamento da parte della CNAS dei dati trasmessi dall’ANAF implicava che le persone interessate da detti dati fossero informate delle finalità di tale trattamento nonché delle categorie di dati trattate.

44      Orbene, emerge dalle spiegazioni offerte dal giudice remittente che la CNAS non ha fornito ai ricorrenti nel procedimento principale le informazioni elencate all’articolo 11, paragrafo 1, lettere da a) a c), di detta direttiva.

45      Inoltre, conformemente all’articolo 11, paragrafo 2, della direttiva 95/46, le disposizioni dell’articolo 11, paragrafo 1, della stessa non si applicano quando, in particolare, la registrazione o la comunicazione sono prescritte per legge. In questi casi gli Stati membri prevedono garanzie appropriate. Per i motivi enunciati ai punti 40 e 41 della presente sentenza, le disposizioni della legge n. 95/2006 evocate dal governo rumeno e il protocollo del 2007 non possono rientrare né nel regime derogatorio conseguente all’articolo 11, paragrafo 2, né in quello che discende dall’articolo 13 di detta direttiva.

46      Alla luce delle suesposte considerazioni, occorre rispondere alla questione sollevata che gli articoli 10, 11 e 13 della direttiva 95/46 devono essere interpretati nel senso che essi ostano a misure nazionali, come quelle di cui trattasi nel procedimento principale, che consentono a un’amministrazione pubblica di uno Stato membro di trasmettere dati personali a un’altra amministrazione pubblica, a fini di trattamento, senza che le persone interessate siano state informate né di tale trasmissione né del successivo trattamento.

 Sulle spese

47      Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Terza Sezione) dichiara:

Gli articoli 10, 11 e 13 della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, devono essere interpretati nel senso che essi ostano a misure nazionali, come quelle di cui trattasi nel procedimento principale, che consentono a un’amministrazione pubblica di uno Stato membro di trasmettere dati personali a un’altra amministrazione pubblica, a fini di trattamento, senza che le persone interessate siano state informate né di tale trasmissione né del successivo trattamento.

(fonte curia.europa.eu)