Dati personali protetti anche nel contesto professionale – CGUE C-710/23
Con sentenza del 3 aprile 2025, la Corte di Giustizia dell’Unione Europea ha rafforzato la protezione dei dati anche nel contesto professionale (Causa C-710/23). La CGUE ha dichiarato che anche i dati personali dei rappresentanti dell’azienda, che compaiono nell’ambito delle attività commerciali, godono di piena protezione dei dati.
Fondamentalmente, vale il diritto all’autodeterminazione informativa. Ciò vale non solo per l’ambito privato, ma anche per quello professionale. La CGUE ha chiarito che anche i dati personali di amministratori delegati e altri rappresentanti di un’azienda rientrano nel Regolamento Generale sulla Protezione dei Dati (GDPR). Per le aziende e le autorità questo significa maggiori requisiti sulla protezione dei dati, secondo lo studio legale MTR Legal Rechtsanwälte, che fornisce consulenza anche nel diritto alla protezione dei dati.
Dati personali anonimi
Nel procedimento sottostante di fronte alla CGUE si trattava di una controversia legale dalla Repubblica Ceca. Un cittadino chiedeva l’accesso ai contratti per l’acquisto di test COVID-19 insieme ai relativi certificati. Nei documenti, tra l’altro, erano inclusi nomi, firme e contatti professionali delle persone che rappresentavano l’autorità. Questa ha rifiutato la consegna, oscurando i nomi, le firme e le funzioni nei documenti con la giustificazione che si trattava di dati personali la cui protezione fosse prioritaria.
Il caso è finito infine davanti alla CGUE, che doveva chiarire se tali indicazioni “professionali” fossero effettivamente dati personali e se le autorità potessero essere obbligate, in base a una norma nazionale, ad ascoltare le persone interessate prima di divulgare, anche se il Regolamento Generale sulla Protezione dei Dati (GDPR) non lo prescrive esplicitamente.
Portata completa del Regolamento Generale sulla Protezione dei Dati (GDPR)
La CGUE ha innanzitutto chiarito che i nomi, le firme e i contatti professionali delle persone fisiche che agiscono per persone giuridiche sono senza dubbio dati personali ai sensi dell’art. 4 n. 1 del GDPR. La portata del GDPR è volutamente ampia e comprende tutte le informazioni che si riferiscono a una persona fisica identificata o identificabile. Il fatto che i dati compaiano nel contesto professionale non cambia nulla, ha affermato la Corte di Lussemburgo.
Chi è indicato come autorizzato a rappresentare nei contratti o nei documenti ufficiali è identificabile e quindi protetto, ha ulteriormente dichiarato la CGUE. La divulgazione di tali dati a terzi costituisce una forma di trattamento dei dati ai sensi dell’art. 4 n. 2 del GDPR, più precisamente una “divulgazione tramite trasmissione”. Pertanto, ogni trasferimento richiede una base legale secondo l’art. 6 del GDPR.
Sicurezza dei dati e protezione
In un mondo del lavoro sempre più digitalizzato, la sicurezza dei dati nel contesto professionale acquisisce sempre più importanza. Il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea e la Legge federale sulla protezione dei dati (BDSG) costituiscono la base centrale per la protezione dei dati personali in Germania e in tutti gli Stati membri dell’UE. Aziende e istituzioni sono obbligate a trattare i dati personali con la massima cura e ad adottare misure tecniche e organizzative idonee a garantire la sicurezza dei dati.
Tra le misure di protezione più importanti rientrano, ad esempio, la crittografia delle e-mail, l’uso controllato dei cookie sui siti web e la protezione contro l’accesso non autorizzato attraverso moderne soluzioni di sicurezza informatica. Il rispetto di queste normative non è solo un obbligo legale, ma anche un fattore decisivo per la fiducia di clienti, partner commerciali e dipendenti. La privacy e la libertà di informazione degli interessati sono sempre al centro della protezione dei dati.
La sorveglianza del rispetto delle leggi sulla protezione dei dati è affidata in Germania al Commissario federale per la protezione dei dati e ai commissari statali per la protezione dei dati. Consigliano aziende e enti pubblici, controllano l’applicazione delle normative e possono imporre sanzioni in caso di violazioni. A livello europeo, la Commissione Europea vigila sull’applicazione uniforme del Regolamento Generale sulla Protezione dei Dati in tutti gli Stati membri. La Corte di Giustizia dell’Unione Europea è responsabile dell’interpretazione del diritto sulla protezione dei dati e assicura con le sue decisioni sicurezza giuridica e standard uniformi in tutta l’UE.
Le persone interessate hanno ampi diritti secondo il GDPR: possono richiedere informazioni sul trattamento dei loro dati personali, chiederne la rettifica o la cancellazione e rivolgersi alle autorità di controllo competenti in caso di violazioni della protezione dei dati. I tribunali e la Corte di Giustizia dell’Unione Europea assicurano che questi diritti siano fatti valere e che i principi della protezione dei dati trovino applicazione pratica.
L’attuazione coerente della sicurezza e della protezione dei dati è per aziende e istituzioni non solo un obbligo legale, ma anche un importante contributo alla tutela della privacy e al rafforzamento della fiducia nell’economia digitale dell’Unione Europea. Il rispetto del Regolamento Generale sulla Protezione dei Dati e della Legge federale sulla protezione dei dati è quindi essenziale per tutti gli attori nel contesto professionale.
Diritto all’informazione e protezione dei dati
In un secondo step, la CGUE ha esaminato come questa protezione dei dati possa essere conciliata con il diritto del pubblico di accedere ai documenti ufficiali. L’art. 86 del GDPR permette esplicitamente agli Stati membri di stabilire margini di manovra per collegare il diritto fondamentale all’accesso alle informazioni con la protezione dei dati personali. In questo contesto, la CGUE ha chiarito: i legislatori nazionali o i tribunali possono prevedere che le autorità debbano informare e consultare le persone interessate prima di divulgare i loro dati. Questi obblighi procedurali aggiuntivi sono compatibili con il GDPR, purché siano proporzionati e non rendano eccessivamente difficile il diritto di accesso ai documenti.
La sentenza ha conseguenze di vasta portata per la pratica della protezione dei dati anche in altri Stati membri dell’UE. In primo luogo, rende chiaro che anche i dati professionali come nomi, firme e contatti commerciali sono pienamente soggetti alla protezione dei dati e devono essere protetti di conseguenza. Aziende o autorità non possono sostenere che tali dati siano “informazioni aziendali neutrali”. Ogni trattamento, che sia archiviazione, pubblicazione o trasmissione, deve basarsi su una solida base legale. Ad esempio, può esserci un obbligo legale di pubblicazione, ad esempio nell’impressum o nel registro delle imprese. Se non esiste un obbligo legale, deve essere effettuata una valutazione attenta degli interessi per verificare se vi sia un interesse legittimo alla pubblicazione.
Compatibilità tra trasparenza e protezione dei dati
Le autorità e le aziende dovrebbero valutare se la divulgazione dei dati sia necessaria o se una versione anonima, ad esempio oscurando i dati, sia sufficiente per soddisfare lo scopo dell’accesso alle informazioni.
La sentenza rafforza la protezione dei dati anche nel contesto professionale, senza limitare eccessivamente la libertà di informazione. Le autorità o le aziende hanno il compito di giustificare ogni divulgazione di dati personali, valutare accuratamente gli interessi e renderlo documentabile. Trasparenza e protezione dei dati devono essere conciliati attraverso procedure strutturate.
MTR Legal Rechtsanwälte consiglia in modo completo nel campo del protezione dei dati.
Non esitate a contattarci!
