Una comunità religiosa che svolge attività di predicazione porta a porta e raccoglie informazioni poi riportate in elenchi è sottoposta alle regole Ue sulla protezione dei dati personali. Lo ha chiarito la Corte di giustizia dell’Unione europea con la sentenza depositata il 10 luglio nella causa C-25/17 (C-25:17). A rivolgersi a Lussemburgo, la Corte amministrativa suprema finlandese alle prese con il ricorso della comunità religiosa dei testimoni di Geova che, in Finlandia, svolgeva attività di predicazione porta a porta. La comunità, inoltre, raccoglieva informazioni sulle visite, indicando nome e cognome e un elenco di persone che non volevano più ricevere visite. I dati erano utilizzati dagli stessi predicatori senza, però, che gli interessati fossero informati della loro raccolta. La Commissione per la protezione dei dati finlandese, su richiesta del garante della protezione dei dati, aveva vietato alla comunità dei testimoni di Geova “di raccogliere o di trattare dati personali nell’ambito dell’attività di predicazione porta a porta effettuata dai suoi membri senza che fossero soddisfatti i requisiti legali per il trattamento di tali dati”. La comunità religiosa aveva impugnato il provvedimento dinanzi al tribunale amministrativo di Helsinki che aveva accolto il ricorso ma la Corte amministrativa suprema, prima di decidere, si è rivolta agli eurogiudici.
La Corte di giustizia è partita dall’articolo 3 della direttiva 95/46 (in gran parte analogo all’articolo 2 del regolamento n. 2016/679 adottato il 27 aprile 2016 sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, noto altresì come regolamento GDPR (General Data Protection Regulation) che esclude dall’ambito di applicazione delle regole sul trattamento dati, tra le altre, quelle effettuate “da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico”. Chiarito che le eccezioni vanno interpretate restrittivamente, Lussemburgo ha precisato che, per essere incluse in questa eccezione, le attività devono essere personali in via esclusiva e, quindi, non possono essere comprese attività che comportano una raccolta di dati svolta da privati all’esterno, con il fine di mettere a disposizione le informazioni verso un numero “indefinito di persone”. Vanno altresì escluse dal perimetro dell’eccezione le attività che si estendono “anche solo parzialmente, allo spazio pubblico”, dirette, quindi, verso “l’esterno della sfera privata della persona che procede al trattamento dei dati”. Inoltre, per quanto riguarda il rapporto con la libertà di manifestazione del proprio credo religioso, che copre il forum internum e quello externum, tutelato dall’articolo 10 della Carta dei diritti fondamentali, la Corte ha precisato che detta libertà “non ha l’effetto di conferire alla suddetta attività [di predicazione] carattere esclusivamente personale o domestico ai sensi dell’articolo 3, paragrafo 2, secondo trattino, della direttiva 95/46”.
Sulla nozione di archivio, Lussemburgo ha avuto modo di precisare che è irrilevante “sapere secondo quale preciso criterio e in che modo esattamente l’insieme dei dati personali raccolti da ciascuno dei membri predicatori sia effettivamente strutturato…, nei limiti in cui tale insieme consenta di reperire facilmente i dati relativi a una determinata persona contattata porta a porta”. Pertanto, anche se il trattamento dei dati è avvenuto in modo non automatizzato, le informazioni personali ottenute e raccolte dai predicatori, con l’inclusione di dati sull’identità personale, in modo strutturato, per “recuperarli facilmente per un successivo impiego”, rientrano nell’ambito di applicazione della direttiva.
Aggiungi un commento