NEWS

La Corte di Giustizia UE fa il punto sul principio di 'minimizzazione' tra prove in giudizio e diritto alla riservatezza

Nella recente sentenza della Corte giustizia Unione Europea n. 268/21 del 02/03/2023 viene riaffermato il diritto ad accedere alle prove necessarie per dimostrare adeguatamente le proprie ragioni in causa, prove che possono eventualmente includere dati personali delle parti o di terzi, purché esse siano sempre valutate alla luce del principio di minimizzazione dei dati di cui all’art. 5 par. 1 lett. c ) del GDPR.

Il principio di minimizzazione dei dati è previsto dall’art. 5 par. 1 lett. c ) del GDPR.

Una società edile edificava uno stabile adibito a uffici ma al termine del lavoro sorgeva doglianza vertente la retribuzione dei lavori eseguiti: la committente non saldava quanto richiesto dall’appaltatrice eccependo che le ore di lavoro del personale dichiarate dalla società fossero inferiori a quanto effettivamente prestato. La legge svedese sui procedimenti tributari richiede che chi eserciti un’attività edilizia abbia l’obbligo, in determinati casi, di tenere un registro elettronico del personale, indicante il nome e il numero nazionale di identificazione di ogni persona che prende parte all’attività nonché gli orari di inizio e di fine servizio.

Lo scopo di tale documentazione è prevenire il lavoro nero e di creare condizioni di concorrenza più sane. La committente chiedeva quindi fosse ordinato alla società edile di produrre in giudizio il detto registro del personale, e ciò ai sensi del codice di procedura svedese, il quale dispone (articolo 38) che chiunque sia in possesso di un documento che possa essere considerato dotato di valore probatorio è tenuto a produrlo. L’appaltatrice si opponeva sostenendo la contrarietà di tale richiesta al disposto dell’art. 5 par. 1 lett. b) del GDPR, sulla liceità del trattamento dati; ma sia in primo che in secondo grado i giudici svedesi disattendevano l’eccezione, emanando l’ordine di produzione.

La Corte Suprema svedese, investita della causa, adiva pregiudizialmente la Corte di Giustizia Europea, chiedendo se occorresse applicare e, se del caso, come, le disposizioni del GDPR all’ordinata produzione di dati personali nell’ambito della causa civile. I Giudici di Lussemburgo venivano chiamati a dare corretta interpretazione dell’art. 6 parr. 3 e 4 del GDPR, in merito alla liceità del trattamento necessario all’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri.

Preliminarmente essi indicano come sia irrilevante che il trattamento dei dati sia relativo ad una disposizione di diritto nazionale sostanziale o procedurale, non operando il GDPR alcuna distinzione tra i due tipi di disposizioni. Per i Giudici aditi la produzione come elemento di prova di un registro del personale contenente dati personali di terzi raccolti principalmente ai fini dei controlli fiscali deve rispettare i dettami di cui all’art. 6 del GDPR.

Nel merito della questione, ovvero sul versante dei diritti dei soggetti implicati, i Giudici di Lussemburgo sono molto chiari: il Giudice nazionale può ordinare la produzione di un documento ai fini probatori, anche se contiene dati personali di terzi, e ciò nell’ottica dell’oramai assodato necessario bilanciamento tra i diversi diritti implicati. Il diritto alla riservatezza, invero, non è il diritto che si staglia al di sopra degli altri, ma un diritto che va contemperato con gli altri di pari rango e che, in determinate circostanze, deve loro cedere il passo. Per dirla con le parole dei Giudici europei, “il diritto alla protezione dei dati personali non è un diritto assoluto, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità, come il diritto a una tutela giurisdizionale effettiva”.

Occorre quindi tenere conto del principio della “minimizzazione dei dati” come espressione al principio di proporzionalità di cui all’articolo 5 GDPR. I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Il giudice nazionale è pertanto tenuto a stabilire se la divulgazione dei dati personali sia adeguata e pertinente al fine di salvaguardare l’obiettivo perseguito dalle disposizioni applicabili del diritto nazionale e se sussistano mezzi di prova meno invasivi, come l’audizione di testimoni; nel caso in cui, invero, egli ritenga necessaria la produzione documentale, può prendere in esame l’adozione di misure supplementari in materia di protezione dei dati, quali l’anonimizzazione dei dati.

Alla luce di queste considerazioni appare evidente che l’esigenza di provare i fatti dedotti non debba travolgere l’attento trattamento dei dati personali. La prova, quindi, dev’essere giudicata secondo criteri di ammissibilità e di rilevanza anche sotto questo aspetto a dire il vero spesso, invece, dimenticato nelle aule dei Tribunali. E non solo nei tribunali: anche il Legislatore è tenuto ad emanare norme che non impongano in via generalizzata il trattamento dei dati personali eccedente e non pertinente. Per questo non possono che essere confermate le critiche sull’art. 473-bis.12 c.p.c. introdotto con la Riforma Cartabia, relativo al dovere di produzione in giudizio degli estratti conto dei rapporti bancari e finanziari in materia di persone, minorenni e famiglie

Note Autore

Domenico Battaglia Domenico Battaglia

Avvocato del foro di Bolzano, socio membro Federprivacy e Delegato per la provincia di Bolzano. Membro dei gruppi di lavoro per la tutela della privacy nella gestione del personale, cybersecurity e studi professionali di Federprivacy. Docente a contratto presso l'Università di Padova. Data Protection Officer del Consiglio dell'Ordine degli Avvocati di Bolzano. - Email: [email protected]

Prev La responsabilità dell’internet provider prima e dopo l’algoritmo
Next L’European Data Protection Board pubblica il rapporto annuale delle proprie attività: ‘contribuiamo a plasmare il futuro digitale dell'Europa’

25 maggio 2023: il Privacy Day Forum al CNR di Pisa nel giorno del 5° anniversario del GDPR

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy