Privacy - Corte di Giustizia dell’Unione Europea: anche le comunità religiose devono osservare le norme in materia privacy

Secondo quanto emerso dalla sentenza della Corte di Giustizia dell’Unione Europea (“Corte di Giustizia”) datata 10 luglio 2018, l’attività di predicazione porta a porta svolta da una comunità religiosa, seppur tutelata dall’articolo 10, paragrafo 1, della Carta dei diritti fondamentali dell’Unione Europea (“Carta”), non rende la comunità religiosa esente dalle norme in materia privacy.

 

La vicenda

Con un divieto posto nel 2013 dal Garante per la protezione dei dati personali finlandese (“Garante”), era stato proibito alla comunità religiosa dei testimoni di Geova (“Comunità”) di raccogliere e trattare dati nell’ambito della suddetta attività, a meno che i requisiti previsti dalla normativa in materia di protezione di dati personali non venissero osservati.

Nel caso di specie, la Corte di Giustizia è stata chiamata a fornire ulteriori chiarimenti in merito all’interpretazione degli articoli 2 e 3 della direttiva 95/46/CE e ad accertare, in via pregiudiziale, se la comunità religiosa fosse soggetta o meno al rispetto della normativa.

A parere del Garante, il divieto era giustificato dal fatto che “la raccolta dei dati in questione da parte dei membri della comunità dei testimoni di Geova costituiva un trattamento di dati personali […]”, e che sia la comunità che i membri della stessa dovevano ritenersi congiuntamente responsabili di tale trattamento. In particolare, a seguito di ulteriori analisi è emerso che, nell’ambito dello svolgimento delle loro attività di predicazione, era consuetudine per i membri della comunità prendere appunti sulle visite porta a porta effettuate, raccogliendo una serie di dati tra cui “il nome e l’indirizzo delle persone contattate […] e informazioni sul loro credo religioso e sulla loro situazione familiare […] a titolo di promemoria, per poter essere consultati per un’eventuale visita successiva”, senza previamente ottenere il consenso esplicito dalle persone interessate.

 

La decisione della Corte di Giustizia

Ai sensi dell’articolo 3, paragrafo 2, della direttiva 95/46/CE, la Corte ha stabilito che la raccolta di dati personali nell’ambito di una attività di predicazione porta a porta non rientra, in via definitiva, tra le eccezioni previste. Difatti, nonostante possa essere considerata espressione della fede dei predicatori, la suddetta attività non conferisce alla stessa carattere esclusivamente personale o domestico.

In merito alla nozione di «archivio», prevista dall’articolo 2, lettera c), la Corte di Giustizia ha adottato un’interpretazione estensiva, posto che non è necessario che lo stesso ricomprenda “schedari, elenchi specifici o altri insiemi di ricerca”, ritenendo sufficiente che le informazioni siano, invece, strutturate secondo specifici criteri e recuperabili facilmente per un successivo impiego.

Quanto alla posizione della comunità religiosa

Ai fini della risoluzione della controversia, la Corte di Giustizia ha specificato, inoltre, che in virtù dell’articolo 2, lettera d) della direttiva, in combinato disposto con l’articolo 10, paragrafo 1 delle Carta, una comunità religiosa può essere considerata, congiuntamente ai suoi membri predicatori, quale titolare del trattamento dei dati personali raccolti nell’ambito di un attività di predicazione porta a porta organizzata, coordinata e incoraggiata da tale comunità, affermando che non è necessario che la suddetta abbia accesso a tali dati o […] dimostrare che essa abbia fornito ai propri membri istruzioni scritte o incarichi relativamente a tali trattamenti.

Nonostante l’abrogazione della Direttiva 95/46/CE, le osservazioni presentate dalla Corte di Giustizia mantengono la loro rilevanza anche ai sensi del nuovo Regolamento dell’Unione Europea n.679 del 2016 (“GDPR”), entrato in vigore il 25 maggio 2018.

(Corte di Giustizia dell’Unione Europea - Grande Sezione, Sentenza 10 luglio 2018, causa C-25/17)