Comunicato stampa della Corte di Giustizia 10 luglio 2018, n. 103

 Una comunità religiosa, come quella dei testimoni di Geova, è responsabile, congiuntamente ai suoi membri predicatori, del trattamento dei dati personali raccolti nell’ambito di un’attività di predicazione porta a porta

I trattamenti di dati personali effettuati nell’ambito di un’attività di questo tipo devono rispettare le norme del diritto dell’Unione in materia di protezione dei dati personali

 Il 17 settembre 2013, la tietosuojalautakunta (commissione finlandese per la protezione dei dati) ha vietato alla Jehovan todistajat – uskonnollinen yhdyskunta (comunità religiosa dei testimoni di Geova in Finlandia) di raccogliere o trattare dati personali, nell’ambito dell’attività di predicazione porta a porta effettuata dai suoi membri, senza che siano soddisfatti i requisiti legali per il trattamento di tali dati.

I membri di tale comunità, nell’ambito della loro attività di predicazione porta a porta, prendono appunti sulle visite effettuate a persone che né essi, né la comunità conoscono. I dati raccolti possono comprendere il nome e l’indirizzo delle persone contattate porta a porta e informazioni sul loro credo religioso e sulla loro situazione familiare. Essi sono raccolti a titolo di promemoria, per poter essere consultati ai fini di un’eventuale visita successiva, senza che le persone interessate vi abbiano acconsentito o ne siano state informate. La comunità dei testimoni di Geova e le congregazioni che ne dipendono organizzerebbero e coordinerebbero l’attività di predicazione porta a porta dei loro membri, in particolare, predisponendo mappe sulla cui base sarebbe realizzata una ripartizione in zone tra i membri predicatori e tenendo schedari sui predicatori e sul numero di pubblicazioni della comunità diffuse da questi ultimi. Inoltre, le congregazioni della comunità dei testimoni di Geova gestirebbero un elenco delle persone che hanno espresso la volontà di non ricevere più visite da parte dei membri predicatori; i dati personali che figurano in tale elenco sarebbero utilizzati dai membri della comunità.

La domanda di pronuncia pregiudiziale del Korkein hallinto-oikeus (Corte amministrativa suprema, Finlandia) è volta in sostanza ad accertare se la comunità sia soggetta al rispetto delle norme del diritto dell’Unione in materia di protezione dei dati personali1, per il fatto che i suoi membri, nell’esercizio della loro attività di predicazione porta a porta, possono essere indotti a prendere appunti trascrivendo il contenuto del loro colloquio e, in particolare, l’orientamento religioso delle persone cui essi hanno reso visita.

Nella sentenza odierna, la Corte di giustizia considera anzitutto che l’attività di predicazione porta a porta dei membri della comunità dei testimoni di Geova non rientra tra le eccezioni previste dal diritto dell’Unione in materia di protezione dei dati personali. In particolare, tale attività non costituisce un’attività esclusivamente personale o domestica alla quale il diritto dell’Unione non si applica. La circostanza che l’attività di predicazione porta a porta sia tutelata dal diritto fondamentale alla libertà di coscienza e di religione, sancito all’articolo 10, paragrafo 1, della Carta dei diritti fondamentali dell’UE, non ha l’effetto di conferirle un carattere esclusivamente personale e domestico, poiché essa va oltre la sfera privata di un membro predicatore di una comunità religiosa.

Successivamente, la Corte ricorda che le norme del diritto dell’Unione in materia di protezione dei dati personali si applicano, tuttavia, al trattamento manuale dei dati solo se questi ultimi sono contenuti o destinati a figurare in un archivio. Nel caso di specie, dal momento che il trattamento di dati personali è effettuato in modo non automatizzato, la questione che si pone è se i dati trattati in tal modo siano contenuti o destinati a figurare in un archivio siffatto. Al riguardo, la Corte conclude che la nozione di «archivio» include ogni insieme di dati personali raccolti nell’ambito di un’attività di predicazione porta a porta e contenente nomi, indirizzi e altre informazioni riguardanti le persone contattate porta a porta, dal momento che tali dati sono strutturati secondo criteri specifici che consentono, in pratica, di recuperarli facilmente per un successivo impiego. Affinché detto insieme rientri in tale nozione, non è necessario che esso comprenda schedari, elenchi specifici o altri sistemi di ricerca.

I trattamenti di dati personali effettuati nell’ambito dell’attività di predicazione porta a porta devono quindi rispettare le norme del diritto dell’Unione in materia di protezione dei dati personali.

Riguardo alla questione di chi possa essere considerato responsabile del trattamento dei dati personali, la Corte ricorda che la nozione di «responsabile del trattamento» può riguardare più soggetti che partecipano al trattamento, ognuno dei quali deve essere pertanto assoggettato alle norme del diritto dell’Unione in materia di protezione dei dati personali. Tali soggetti possono essere coinvolti in fasi diverse del trattamento e a diversi livelli, cosicché il grado di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze rilevanti del caso di specie. La Corte constata altresì che nessuna disposizione del diritto dell’Unione consente di ritenere che la determinazione delle finalità e dei mezzi del trattamento debba essere effettuata mediante istruzioni scritte o incarichi da parte del responsabile del trattamento. Può essere invece considerata responsabile del trattamento una persona fisica o giuridica che, a scopi che le sono propri, influisca sul trattamento dei dati personali e partecipi pertanto alla determinazione delle finalità e dei mezzi di tale trattamento.

Inoltre, la responsabilità congiunta di vari soggetti non presuppone che ciascuno di essi abbia accesso ai dati personali.

Nel caso di specie risulta che la comunità dei testimoni di Geova, organizzando, coordinando e promuovendo l’attività di predicazione dei suoi membri, partecipa, insieme ai suoi membri predicatori, a determinare le finalità e i mezzi del trattamento dei dati personali delle persone contattate porta a porta, circostanza che spetta tuttavia al giudice finlandese valutare alla luce di tutte le circostanze del caso di specie. Tale analisi non è rimessa in discussione dal principio dell’autonomia organizzativa delle comunità religiose, sancito all’articolo 17 TFUE.

La Corte conclude che il diritto dell’Unione in materia di protezione dei dati personali consente di considerare una comunità religiosa, congiuntamente ai suoi membri predicatori, quale responsabile del trattamento dei dati personali effettuato da questi ultimi nell’ambito di un’attività di predicazione porta a porta organizzata, coordinata e incoraggiata da tale comunità, senza che sia necessario che detta comunità abbia accesso a tali dati o che si debba dimostrare che essa ha fornito ai propri membri istruzioni scritte o incarichi relativamente a tali trattamenti.

1 Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31), letta alla luce dell’articolo 10, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea.