CONCLUSIONI DELL’AVVOCATO GENERALE
JULIANE KOKOTT
presentate il 20 luglio 2017 (1)
Causa C-434/16
Peter Nowak
contro
Data Protection Commissioner
[domanda di pronuncia pregiudiziale proposta dalla Supreme Court (Corte Suprema, Irlanda)]
«Domanda di pronuncia pregiudiziale – Direttiva 95/46/CE – Trattamento dei dati personali – Nozione di dati personali – Accesso alla propria prova d’esame – Correzioni»
I. Introduzione
1. Se una prova d’esame contenga dati personali, cosicché il candidato all’esame possa eventualmente chiedere, per tale motivo, al gestore della procedura d’esame di accedere al proprio elaborato sulla base della direttiva sulla protezione dei dati (2). Tale è l’oggetto della presente domanda di pronuncia pregiudiziale della Supreme Court (Corte Suprema) irlandese. Il procedimento principale non verte però direttamente sull’accesso ad una prova d’esame, ma riguarda il rifiuto dell’allora garante irlandese per la protezione dei dati di dar seguito ad un reclamo presentato a causa del diniego di accesso.
2. In sostanza si tratta di stabilire se lo svolgimento di una prova d’esame, da parte di un candidato, possa costituire dati personali. A margine si potrebbe però anche discutere se sia rilevante il fatto che l’elaborato sia stato scritto a mano e se anche le correzioni apposte dall’esaminatore sull’elaborato costituiscano dati personali del candidato.
3. Sebbene la direttiva sulla protezione dei dati sarà presto sostituita dal regolamento generale sulla protezione dei dati (3), non ancora applicabile, la nozione di dati personali non ne risulterà modificata. Pertanto, tale domanda di pronuncia pregiudiziale sarà rilevante anche per la futura applicazione del diritto dell’Unione in materia di protezione dei dati.
II. Contesto normativo
4. L’articolo 2, lettera a), della direttiva sulla protezione dei dati definisce diverse nozioni, in particolare cosa debba intendersi per dati personali:
«Ai fini della presente direttiva si intende per:
a) “dati personali” qualsiasi informazione concernente una persona fisica identificata o identificabile (“persona interessata”); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale;
b) “trattamento di dati personali” (“trattamento”): qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione.
c) “archivio di dati personali” (“archivio”): qualsiasi insieme strutturato di dati personali accessibili, secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico».
5. L’ambito di applicazione della direttiva è determinato dall’articolo 3:
«1. Le disposizioni della presente direttiva si applicano al trattamento di dati personali interamente o parzialmente automatizzato nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi.
2. (…)».
6. L’articolo 12 della direttiva sulla protezione dei dati disciplina il diritto d’accesso:
«Gli Stati membri garantiscono a qualsiasi persona interessata il diritto di ottenere dal responsabile del trattamento:
a) liberamente e senza costrizione, ad intervalli ragionevoli e senza ritardi o spese eccessivi:
– la conferma dell’esistenza o meno di trattamenti di dati che la riguardano, e l’informazione almeno sulle finalità dei trattamenti, sulle categorie di dati trattati, sui destinatari o sulle categorie di destinatari cui sono comunicati i dati;
– la comunicazione in forma intelligibile dei dati che sono oggetto dei trattamenti, nonché di tutte le informazioni disponibili sull’origine dei dati;
– la conoscenza della logica applicata nei trattamenti automatizzati dei dati che lo interessano, per lo meno nel caso delle decisioni automatizzate di cui all’articolo 15, paragrafo 1;
b) a seconda dei casi, la rettifica, la cancellazione o il congelamento dei dati il cui trattamento non è conforme alle disposizioni della presente direttiva, in particolare a causa del carattere incompleto o inesatto dei dati».
7. Il considerando 41 descrive la finalità del diritto d’accesso:
«considerando che una persona deve godere del diritto d’accesso ai dati che la riguardano e che sono oggetto di trattamento, per poter verificare, in particolare, la loro esattezza e la liceità del trattamento; (…)».
8. L’articolo 13, paragrafo 1, della direttiva sulla protezione dei datti costituisce il fondamento delle deroghe relative a determinate disposizioni:
«1. Gli Stati membri possono adottare disposizioni legislative intese a limitare la portata degli obblighi e dei diritti previsti dalle disposizioni dell’articolo 6, paragrafo 1, dell’articolo 10, dell’articolo 11, paragrafo 1 e degli articoli 12 e 21, qualora tale restrizione costituisca una misura necessaria alla salvaguardia:
a) della sicurezza dello Stato;
b) della difesa;
c) della pubblica sicurezza;
d) della prevenzione, della ricerca, dell’accertamento e del perseguimento di infrazioni penali o di violazioni della deontologia delle professioni regolamentate;
e) di un rilevante interesse economico o finanziario di uno Stato membro o dell’Unione europea, anche in materia monetaria, di bilancio e tributaria;
f) di un compito di controllo, ispezione o disciplina connesso, anche occasionalmente, con l’esercizio dei pubblici poteri nei casi di cui alle lettere c), d) ed e);
g) della protezione della persona interessata o dei diritti e delle libertà altrui».
III. Fatti e domanda di pronuncia pregiudiziale
9. Il sig. Nowak era un Trainee Accountant (revisore dei conti/consulente fiscale tirocinante) che aveva sostenuto e superato diversi esami presso l’Institute of Chartered Accountants of Ireland (organizzazione professionale irlandese dei revisori dei conti/consulenti fiscali; in prosieguo: il «CAI»). Tuttavia, egli aveva tentato, senza riuscirci, di superare l’esame di Strategic Finance and Management Accounting (finanza strategica e contabilità gestionale) in quattro occasioni. Si trattava di un esame durante il quale era consentita la consultazione di materiale proprio («open book exam»).
10. Al quarto tentativo, nell’autunno del 2009, il sig. Nowak contestava il risultato e infine, nel maggio 2010, decideva di presentare una richiesta di accesso ai dati ai sensi dell’articolo 4 della normativa irlandese sulla protezione dei dati, chiedendo l’accesso a tutti i «dati personali» registrati presso il CAI che lo riguardavano.
11. Con lettera del 1° giugno 2010, il CAI trasmetteva al sig. Nowak 17 documenti, rifiutando tuttavia di trasmettere la sua prova di esame a motivo che lo stesso CAI sarebbe stato informato del fatto che l’elaborato non costituiva «dati personali» ai sensi delle leggi sulla protezione dei dati.
12. In seguito, il sig. Nowak contattava l’Office of the Data Protection Commissioner, l’autorità del garante irlandese per la protezione dei dati, chiedendone l’assistenza e sostenendo che nel caso del suo elaborato si trattava di «dati personali». Nel giugno del 2010, il garante per la protezione dei dati inviava una email al sig. Nowak per informarlo, inter alia, del fatto che «le prove d’esame non sono generalmente da prendere in considerazione [ai fini della protezione dei dati] (...) in quanto tale materiale non costituisce generalmente dati personali».
13. Lo scambio di corrispondenza tra il sig. Nowak e l’allora garante per la protezione dei dati continuava, concludendosi con la presentazione di un reclamo formale da parte del sig. Nowak in data 1° luglio 2010. Con lettera del 21 luglio 2010, il garante per la protezione dei dati comunicava al sig. Nowak di aver esaminato le informazioni e di non aver riscontrato alcuna violazione sostanziale delle leggi sulla protezione dei dati. Inoltre, la lettera informava che il materiale su cui il sig. Nowak intendeva esercitare «un diritto di rettifica non costituisce dati personali cui si applica [la normativa in materia di protezione dei dati]». Il garante per la protezione dei dati non proseguiva pertanto l’esame del reclamo.
14. Il sig. Nowak impugnava tale decisione dinanzi ai giudici irlandesi, dove il procedimento è tuttora pendente dinanzi alla Supreme Court (Corte Suprema). Quest’ultima sottopone alla Corte le seguenti questioni:
1. Se le informazioni registrate nelle risposte o a titolo di risposte fornite da un candidato durante un esame professionale possano costituire dati personali ai sensi della direttiva 95/46/CE.
2. Qualora la risposta alla prima questione sia che tali informazioni possono costituire, in tutto o in parte, dati personali ai sensi della direttiva, quali fattori siano pertinenti nel determinare nei singoli casi se la prova d’esame costituisca dati personali, e quale peso debba essere conferito a tali fattori.
15. Nel procedimento dinanzi alla Corte, il sig. Nowak e l’attuale garante irlandese per la protezione dei dati come parti nel procedimento principale, nonché la Repubblica ellenica, l’Irlanda, la Repubblica di Polonia, la Repubblica portoghese, la Repubblica d’Austria, l’Ungheria, la Repubblica ceca e la Commissione europea hanno presentato osservazioni scritte. All’udienza del 22 giugno 2017 erano rappresentati, oltre al sig. Nowak e al garante irlandese per la protezione dei dati, anche l’Irlanda e la Commissione europea.
IV. Valutazione giuridica
16. La domanda di pronuncia pregiudiziale verte sostanzialmente sulla questione se le prove d’esame debbano essere considerate come dati personali (a tal riguardo, infra, sub A). Inoltre, alcune parti interessate discutevano la possibilità che le correzioni apposte dagli esaminatori costituiscano dati personali del candidato (a tal riguardo, infra, sub B). E infine, la Commissione, in particolare, ha presentato osservazioni sugli ulteriori presupposti del diritto d’accesso nell’ambito della protezione dei dati (a tal riguardo, infra, sub C).
A. Sulla prova d’esame
17. Con entrambe le questioni, cui occorre rispondere congiuntamente, la Supreme Court (Corte Suprema) vorrebbe sapere se una prova scritta d’esame rientri nella definizione di dati personali ai sensi dell’articolo 2, lettera a), della direttiva sulla protezione dei dati. Alla base di tale questione è il fatto che il sig. Nowak, candidato nell’esame in questione, chiede l’accesso alla sua prova d’esame sulla base del diritto d’accesso nell’ambito della protezione dei dati, sancito dall’articolo 12 della direttiva sulla protezione dei dati, e che, a tal riguardo, aveva presentato infruttuosamente un reclamo presso l’allora garante irlandese per la protezione dei dati.
1. Sulla definizione dei dati personali
18. Il campo di applicazione della direttiva sulla protezione dei dati è molto ampio e i dati personali contemplati dalla direttiva sono vari (4) Secondo l’articolo 2, lettera a), si intende per dati personali qualsiasi informazione concernente una persona fisica identificata o identificabile.
a) Sulla qualificazione delle prove d’esame
19. L’attuale garante irlandese per la protezione dei dati ritiene che una prova d’esame, specialmente quando è consentita la consultazione di materiale proprio, non contenga dati personali. Tale tesi potrebbe essere giusta, di norma, qualora si considerasse isolatamente la soluzione delle prove d’esame. Dato che queste ultime sono formulate in maniera astratta o riguardano situazioni ipotetiche (5), anche la loro soluzione non dovrebbe avere ad oggetto alcuna informazione concernente una persona fisica identificata o identificabile.
20. Sebbene le questioni sollevate dalla Supreme Court (Corte Suprema) sembrino riferirsi in effetti solo alla soluzione, segnatamente le «informazioni registrate (…) da un candidato», non sarebbe opportuno in questa sede limitarsi ad analizzare tale aspetto.
21. Infatti, come giustamente espongono quasi tutte le altre parti interessate, una prova d’esame non solo contiene informazioni sulla soluzione di determinate prove, ma associa detta soluzione alla persona del candidato che redige l’elaborato. Tale elaborato attesta la partecipazione della persona in questione ad un determinato esame e che tipo di prestazione abbia fornito. L’associazione di detta prestazione alla persona risulta, inoltre, dal fatto che i candidati, di regola, riportano nei loro curriculum i risultati degli esami più importanti.
22. Ai fini della qualificazione della prova d’esame quale incorporazione di dati personali non è rilevante se l’elaborato consista in risposte formulate dallo stesso candidato oppure nella scelta di determinate risposte a domande a risposta multipla come peraltro non è rilevante la possibilità, concessa nel caso di specie, di consultare determinati materiali («open book exam»).
23. L’associazione della rispettiva prestazione al candidato è di intensità proporzionale alla misura del suo diretto coinvolgimento nella redazione delle risposte. Infatti, l’individuazione autonoma di una soluzione non si esaurisce nella riproduzione delle nozioni apprese, ma rispecchia anche il modo in cui il candidato pensa e lavora.
24. In ogni caso un esame – diversamente, ad esempio, da un sondaggio rappresentativo – non mira, tuttavia, ad ottenere informazioni non associabili ad una persona. Esso è diretto piuttosto a verificare e documentare la prestazione di una specifica persona, segnatamente del candidato. Ogni esame ha lo scopo di testare una prestazione strettamente personale e individuale del candidato. Non a caso il ricorso ingiustificato ad altrui prestazioni nel corso di esami viene severamente sanzionato come tentata truffa.
25. Ne consegue che una prova d’esame incorpora informazioni sul candidato e, a tal riguardo, costituisce un complesso di dati personali.
26. La correttezza di tale conclusione è altresì suffragata dal fatto che un candidato è titolare di un interesse legittimo, basato sul rispetto della vita privata, a potersi opporre al trattamento della prova d’esame a lui attribuita al di fuori della procedura d’esame. Infatti, un candidato non è obbligato ad accettare che il suo elaborato venga trasmesso a terzi o addirittura pubblicato senza il suo consenso.
27. Diversamente da quanto ritenuto dal garante irlandese per la protezione dei dati, i dati personali incorporati in una prova d’esame non si esauriscono nel risultato dell’esame, nel voto conseguito o anche nei punti assegnati per determinate sezioni dell’esame. Tali valori si limitano a sintetizzare la prestazione nell’esame, attestata nel dettaglio nella stessa prova d’esame.
28. Il fatto che l’elaborato sia contrassegnato, invece che con il nome del candidato, con un numero di riconoscimento oppure con un codice a barre non incide sulla qualificazione di una prova d’esame come incorporazione di dati personali. Infatti, ai sensi dell’articolo 2, lettera a), della direttiva sulla protezione dei dati, con riguardo alle informazioni personali è sufficiente che la persona in questione possa essere identificata quantomeno indirettamente (6). E almeno nel caso in cui il candidato presenti richiesta dell’elaborato all’organizzazione che ha gestito l’esame, quest’ultima è in grado di identificarlo sulla base del numero di riconoscimento.
b) Sulla rilevanza della grafia
29. Il sig. Nowak, la Polonia e la Repubblica ceca sostengono a ragione che le risposte scritte a mano contengono informazioni aggiuntive sul candidato, segnatamente sulla sua grafia. Un elaborato scritto a mano è pertanto una prova di scrittura utilizzabile quantomeno potenzialmente come indizio in un momento successivo per verificare se un altro testo sia stato parimenti scritto dal candidato. Essa può dunque fornire indicazioni sull’identità dell’autore dell’elaborato.
30. Il fatto che una siffatta prova di scrittura sia idonea o meno ad identificare con assoluta certezza lo scrivente può non assumere alcuna rilevanza ai fini della classificazione come dati personali. Infatti, molti altri dati personali non consentono, isolatamente considerati, di identificare le persone con assoluta certezza. Dunque, non è neanche necessario decidere se la grafia possa essere considerata un’informazione biometrica.
2. Sulla finalità del diritto d’accesso
31. Contrariamente a quanto sostiene l’Irlanda, anche la finalità del diritto d’accesso ai dati personali enunciata nel considerando 41 della direttiva sulla protezione dei dati non inficia una siffatta classificazione di una prova d’esame. In base a detto considerando, una persona deve godere del diritto d’accesso ai dati che la riguardano e che sono oggetto di trattamento, per poter verificare, in particolare, la loro esattezza e la liceità del trattamento. L’Irlanda teme che il candidato, su detto fondamento, in combinato disposto con il diritto alla rettifica sancito dall’articolo 12, lettera b), chieda di correggere le risposte erronee date all’esame.
a) Sull’interpretazione teleologica della nozione di dati personali
32. Occorre anzitutto ricordare che, nel caso di specie, il diritto d’accesso assume un ruolo secondario, in quanto si tratta piuttosto, in primo luogo, dell’interpretazione della nozione di dati personali. Come correttamente esposto dalla Commissione nel corso dell’udienza, a tale nozione sono collegati molti altri requisiti della direttiva sulla protezione dei dati. In tal senso, l’articolo 6, paragrafo 1, lettera a), impone che i dati personali siano trattati lealmente e lecitamente e la lettera b) prevede la limitazione delle finalità dei dati personali.
33. Per quanto attiene al caso di specie, è di particolare rilievo che, ai sensi dell’articolo 8, paragrafo 3, della Carta dei diritti fondamentali, dell’articolo 16, paragrafo 2, TFUE e dell’articolo 28 della direttiva sulla protezione dei dati, le autorità di controllo siano tenute a controllare in piena indipendenza l’osservanza delle norme dell’Unione relative alla tutela delle persone fisiche con riguardo al trattamento dei dati personali (7). A tal proposito, l’articolo 8, paragrafi 1 e 3, della Carta e l’articolo 28, paragrafo 4, della direttiva sulla protezione dei dati garantiscono alle persone cui si riferiscono i dati in questione il diritto di investire le autorità nazionali di controllo di una domanda ai fini della protezione dei loro diritti fondamentali (8).
34. Pertanto, la qualificazione di informazioni come dati personali non può essere subordinata alla sussistenza o meno di specifiche regole relative all’accesso a dette informazioni, le quali potrebbero essere applicate insieme con il diritto d’accesso oppure in alternativa ad esso. Finanche i problemi concernenti un diritto alla rettifica possono non essere decisivi ai fini dell’accertamento della presenza di dati personali. Infatti, ove si prendessero in considerazione in maniera preminente detti fattori, taluni dati personali potrebbero essere esclusi dall’intero sistema di protezione della direttiva sulla protezione dei dati, sebbene le norme applicabili in alternativa non garantiscano una protezione equivalente, ma al massimo frammentaria.
b) Sulla rettifica dei dati
35. Qualora però si concentri l’attenzione sul diritto d’accesso e sulla questione della rettifica, va riconosciuto che tale diritto, con riguardo ad una prova d’esame, evidentemente non può essere esercitato per chiedere, a seguito dell’accesso, una rettifica del contenuto dell’elaborato, vale a dire della soluzione riportata sul foglio dal candidato, ai sensi dell’articolo 12, lettera b), della direttiva sulla protezione dei dati (9). Infatti, come sottolineato a ragione dalla Polonia, l’esattezza e la completezza dei dati personali ai sensi dell’articolo 6, paragrafo 1, lettera d), devono essere valutati con riguardo alla finalità per la quale i dati sono rilevati e trattati. La finalità di una prova d’esame è quella di accertare le conoscenze e le competenze del candidato al momento dell’esame, le quali si evincono proprio dalla prestazione da lui resa all’esame e in particolare dagli errori ivi contenuti. La presenza di errori nella soluzione non significa pertanto che i dati personali incorporati nell’elaborato siano inesatti.
36. Sarebbe tuttavia possibile una rettifica, ove dovesse risultare che l’elaborato attesti in maniera inesatta o incompleta la prestazione all’esame della persona in questione. Una siffatta ipotesi sussisterebbe ad esempio quando – come osserva la Grecia – alla persona in questione sia stato attribuito l’elaborato di un altro candidato, il che si potrebbe dimostrare inter alia ricorrendo all’analisi della grafia, oppure nel caso in cui siano andate perdute parti dell’elaborato.
37. Inoltre non può escludersi che un candidato maturi, in un momento successivo, un legittimo interesse a che i dati personali incorporati nell’elaborato vengano cancellati ai sensi dell’articolo 12, lettera b), della direttiva sulla protezione dei dati, vale a dire a che l’elaborato venga distrutto. Un siffatto interesse potrebbe ritenersi sussistente al più tardi quando l’elaborato, per effetto del decorso dei termini, abbia perduto ogni valore probatorio in ordine ad un controllo del risultato dell’esame. Anche tale diritto alla cancellazione presuppone il riconoscimento dell’incorporazione di dati personali nell’elaborato.
38. Infine, la rettifica e gli altri diritti enunciati nell’articolo 12, lettera b), della direttiva sulla protezione dei dati, il congelamento e la cancellazione, non costituiscono l’unica finalità del diritto d’accesso.
39. Sebbene il considerando 41 descriva la finalità dell’accesso nel senso che la persona interessata debba poter verificare, in particolare, l’esattezza di tali dati e la liceità del loro trattamento, il legislatore ha però già indicato, attraverso l’uso della locuzione «in particolare» presente nella maggioranza delle versioni linguistiche (10) che la finalità è più ampia. Infatti, anche a prescindere da una rettifica, una cancellazione o un congelamento, gli interessati hanno, di norma, un legittimo interesse a conoscere quali informazioni che li riguardano siano oggetto di trattamento da parte del responsabile.
40. È vero che, con riguardo ad una prova d’esame, la connessa esigenza di informazioni da parte del candidato dovrebbe essere, in un primo momento, molto limitata. Infatti, quest’ultimo conserverà ancora relativamente bene nella memoria il contenuto delle sue risposte e farà affidamento sul fatto che l’ente organizzatore dell’esame conservi ancora il suo elaborato.
41. Tuttavia, alcuni anni più tardi il ricordo potrebbe rimanere molto meno impresso, cosicché ad un’eventuale domanda di accesso corrisponderà un effettivo bisogno di informazioni – per qualsivoglia ragione sia sorto. Inoltre, con il passar del tempo – in particolare dopo il decorso di eventuali termini di reclamo e di riesame – aumenta l’incertezza in ordine alla conservazione dell’elaborato. In tale ipotesi, il candidato deve essere in condizione almeno di sapere se il suo elaborato sia ancora conservato. Anche l’esercizio di tale diritto presuppone il riconoscimento dell’incorporazione di dati personali del candidato nell’elaborato.
c) Sull’abuso del diritto d’accesso
42. Occorre inoltre affrontare la questione dell’abuso di diritti nell’ambito della protezione dei dati, in quanto il reclamo presentato dal sig. Nowak nel procedimento interno e la richiesta di accesso oggetto del presente procedimento sono stati considerati abusivi rispettivamente dal garante per la protezione dei dati e dalla Repubblica ceca. Tale censura sembra collegarsi alla circostanza che il sig. Nowak non abbia avviato la procedura di controllo del risultato dell’esame, ma abbia fatto valere un diritto d’accesso nell’ambito della protezione dei dati.
43. Limitatamente a tale aspetto, è vero che gli interessati non possono avvalersi abusivamente o fraudolentemente delle norme del diritto dell’Unione (11).
44. L’accertamento dell’esistenza di una pratica abusiva richiede che ricorrano un elemento oggettivo e un elemento soggettivo. Da un lato, per quanto riguarda l’elemento oggettivo, tale accertamento richiede un insieme di circostanze oggettive dalle quali risulti che, nonostante il rispetto formale delle condizioni previste dalla normativa dell’Unione, l’obiettivo perseguito da detta normativa non è raggiunto. Dall’altro lato, un siffatto accertamento richiede un elemento soggettivo, vale a dire che da un insieme di elementi oggettivi deve risultare che lo scopo essenziale delle operazioni in questione è il conseguimento di un vantaggio indebito. Il divieto di comportamenti abusivi, infatti, non vale più ove le operazioni di cui trattasi possano spiegarsi altrimenti che con il mero conseguimento di un vantaggio (indebito) (12).
45. Qualora gli elaborati di un esame incorporino dati personali, secondo quanto esposto dal garante per la protezione dei dati e dall’Irlanda, non si raggiungerebbe l’obiettivo della direttiva sulla protezione dei dati, in quanto un diritto d’accesso nell’ambito della protezione dei dati consentirebbe di aggirare le regole sulla procedura d’esame e sull’opposizione ai relativi giudizi.
46. Un presunto aggiramento della procedura d’esame e dell’opposizione ai relativi giudizi compiuta attraverso il diritto d’accesso nell’ambito della protezione dei dati dovrebbe però essere affrontato con gli strumenti forniti dalla direttiva sulla protezione dei dati. A tal riguardo, occorre riferirsi in particolare all’articolo 13 che consente di disporre deroghe al diritto di accesso per la tutela di specifici interessi ivi menzionati.
47. Laddove tali motivi non giustifichino alcuna deroga in determinate ipotesi, come ad esempio con riguardo agli esami, va riconosciuto che il legislatore ha accordato un primato ai requisiti in materia di protezione dei dati basati sui diritti fondamentali rispetto ad altri interessi specificamente coinvolti.
48. Va tuttavia segnalato che il regolamento generale sulla protezione dei dati che entrerà in vigore prossimamente attenua tale tensione. Da un lato, in base all’articolo 15, paragrafo 4, del regolamento, il diritto di ottenere una copia di dati personali non deve ledere i diritti e le libertà altrui. Dall’altro lato, l’articolo 23 del regolamento contempla i motivi delle limitazioni delle garanzie in materia di protezione dei dati in maniera lievemente più ampia rispetto all’articolo 13 della direttiva, in quanto, in particolare, la protezione di altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro può giustificare le limitazioni ai sensi dell’articolo 23, paragrafo 1, lettera e), del regolamento.
49. Di contro, la mera esistenza di altre discipline nazionali aventi del pari ad oggetto l’accesso a prove d’esame non è ancora sufficiente a riconoscere il mancato raggiungimento dell’obiettivo della direttiva.
50. Tuttavia, anche se si volesse ammettere un mancato raggiungimento dell’obiettivo, non risulta chiaro in cosa debba consistere il vantaggio indebito, qualora un candidato riesca ad ottenere l’accesso al suo elaborato attraverso l’esercizio del diritto di accesso. In particolare, non può essere considerato abusivo il fatto che, esercitando detto diritto, si ottengano informazioni cui non si avrebbe altrimenti alcun accesso. Infatti, ove fosse già possibile l’accesso ad informazioni personali, non ci sarebbe stato bisogno dell’introduzione del diritto di accesso nell’ambito della protezione dei dati. La funzione di un siffatto diritto di accesso è proprio quella di consentire all’interessato – fatte salve le deroghe fondate sull’articolo 13 della direttiva sulla protezione di dati – l’accesso ai propri dati, laddove altrimenti non si configuri alcun diritto all’accesso.
3. Conclusione intermedia
51. In conclusione, una prova d’esame scritta a mano, attribuibile ad un candidato, costituisce dati personali ai sensi dell’articolo 2, lettera a), della direttiva sulla protezione dei dati.
B. Sulle eventuali correzioni presenti nella prova d’esame
52. Le parti interessate e in particolare il sig. Nowak sollevano parzialmentela questione se le eventuali correzioni apposte sulla prova d’esame costituiscano del pari dati personali relativi al candidato.
53. Una risposta a detta questione non è però necessaria ai fini della decisione del procedimento principale, in quanto esso non mira a stabilire se le eventuali correzioni costituiscano informazioni sul sig. Nowak. Oggetto del procedimento è invero se l’allora garante irlandese per la protezione dei dati potesse respingere legittimamente il reclamo presentato dal sig. Nowak, con la motivazione che la sua prova d’esame non costituisca di per sé dati personali. In che misura le correzioni debbano essere ugualmente considerate dati che riguardano il candidato dovrebbe essere stabilito non dalla Supreme Court (Corte Suprema), ma – in caso di accoglimento del ricorso – anzitutto dall’attuale garante irlandese per la protezione dei dati. Tratterò nondimeno tale aspetto, nel caso in cui la Corte intenda tuttavia analizzarlo.
54. Diversamente dalla prova d’esame complessivamente intesa, in merito alle correzioni, è difficile immaginare un diritto alla rettifica, alla cancellazione o al congelamento di dati inesatti nell’ambito della protezione dei dati. Infatti, sembra potersi escludere che le correzioni apposte sull’elaborato si riferiscano in realtà ad un altro elaborato oppure che esse non riflettano l’opinione dell’esaminatore. Esse sono però dirette a documentare proprio tale opinione. Ai sensi della direttiva sulla protezione dei dati, tali correzioni non risulterebbero pertanto erronee e non occorrerebbe rettificarle anche nel caso in cui la valutazione ivi attestata non fosse oggettivamente giustificata.
55. Eventuali obiezioni contro le correzioni dovrebbero essere dunque trattate nell’ambito di un’opposizione alla valutazione dell’elaborato.
56. Si potrebbe altresì immaginare che il summenzionato diritto alla cancellazione concernente l’elaborato includa anche la correzione.
57. Nondimeno, un diritto di accesso alle correzioni avrebbe la finalità primaria di informare il candidato circa la valutazione di alcuni passaggi del suo elaborato.
58. A tal riguardo, il presente caso è simile a quello in cui la Corte ha rifiutato l’estensione del diritto di accesso alla minuta dell’analisi giuridica di una domanda di asilo, poiché ciò non avrebbe assecondato gli obiettivi della direttiva sulla protezione dei dati, ma avrebbe fondato un diritto di accesso ai documenti amministrativi (13). Nel presente caso si potrebbe pensare che l’accesso a informazioni sulla valutazione di una prova d’esame debba essere conseguito anzitutto nell’ambito della procedura d’esame ovvero di un procedimento speciale per l’opposizione ai giudizi e non sulla base della normativa in materia di protezione dei dati. Laddove peraltro la procedura d’esame non venga disciplinata dal diritto dell’Unione, gli eventuali diritti all’informazione da far valere nell’ambito di detto procedimento sarebbero contemplati unicamente dalla normativa nazionale.
59. Inoltre, la Corte statuiva, nella sentenza menzionata, che una simile analisi giuridica costituisce non già un’informazione riguardante il richiedente il titolo di soggiorno, ma tutt’al più, un’informazione riguardante la valutazione e l’applicazione, da parte dell’autorità competente, di tale diritto alla situazione del richiedente (14). Anche tale constatazione potrebbe essere prima facie applicata alle correzioni, le quali indicherebbero pertanto solo il modo in cui l’esaminatore valuta le risposte.
60. Infatti, non è necessario che un esaminatore, nel rivedere un elaborato, sappia chi l’ha redatto. Al contrario, come nel caso di specie, in molte procedure d’esame scritto viene sottolineata la necessità che gli esaminatori non conoscano l’identità dei candidati al fine di escludere conflitti di interesse o pregiudizi. Dunque, le loro correzioni non sono in alcun modo associate alla persona del candidato – come pure avviene nell’esame di cui trattasi.
61. Tuttavia, tale correzioni mirano alla valutazione della prestazione d’esame e si riferiscono a tal proposito indirettamente al candidato. L’organizzazione che gestisce l’esame è in grado di identificarlo senza problemi e di associarlo alle correzioni, una volta pervenutole l’elaborato rivisto dall’esaminatore.
62. Come sostiene inoltre l’Austria, le correzioni presenti sull’elaborato – a differenza, ad esempio, di un breve parere sull’elaborato – sono tipicamente integrate nell’elaborato in maniera normalmente inscindibile, poiché esse, prese isolatamente, non avrebbero alcun significato logico. Lo stesso elaborato incorpora però – come si è detto supra – dati personali del candidato. E tali dati sono rilevati e trattati proprio al fine di rendere possibile la valutazione della prestazione del candidato contenuta nelle correzioni.
63. Già solo in ragione di tale stretta connessione tra la prova d’esame e le correzioni apposte su di essa anche queste ultime costituiscono dati personali del candidato ai sensi dell’articolo 2, lettera a), della direttiva sulla protezione dei dati.
64. La possibilità di aggirare il procedimento di reclamo contro l’esame non può conseguentemente escludere l’applicazione della normativa in materia di protezione dei dati. Infatti, la possibilità che esistano contestualmente altre regole in materia di accesso a determinate informazioni non può depotenziare la normativa in materia di protezione dei dati. Sembra tutt’al più ammissibile che gli interessati siano indirizzati verso alternativi diritti di accesso, laddove essi possano essere fatti valere efficacemente.
65. Per ragioni di completezza occorre osservare che le correzioni costituiscono, allo stesso tempo, dati personali dell’esaminatore. I suoi diritti sono, in linea di principio, idonei a giustificare restrizioni del diritto di accesso ai sensi dell’articolo 13, paragrafo 1, lettera g), della direttiva sulla protezione dei dati, nel caso in cui prevalgano nei confronti degli interessi legittimi del candidato. La soluzione definitiva di tale potenziale conflitto d’interessi potrebbe però consistere, di norma, nella distruzione dell’elaborato rivisto, non appena sia escluso, in ragione del decorso del tempo, un controllo a posteriori della procedura d’esame.
C. Sugli ulteriori presupposti di applicazione della direttiva sulla protezione dei dati
66. La Commissione sottolinea giustamente che l’applicazione della direttiva sulla protezione dei dati e l’esercizio del diritto di accesso oltre all’esistenza di dati personali sono sottoposti ad ulteriori presupposti e giustificano anche la restrizione del diritto di accesso.
67. Tuttavia siffatti ulteriori presupposti e la possibilità di restrizione non costituiscono oggetto del quesito, cosicché la Corte non deve statuire su di essi. Affrontare tale aspetto non sembra neppure necessario affinché la Supreme Court (Corte Suprema) possa pronunciarsi sulla questione se l’allora garante per la protezione dei dati abbia legittimamente rifiutato l’ulteriore valutazione del reclamo presentato dal sig. Nowak.
68. Qualora la Corte intendesse nondimeno pronunciarsi su tali questioni, sarebbe rilevante prima facie in particolare l’articolo 3, paragrafo 1, della direttiva sulla protezione dei dati. Esso dispone che le disposizioni della direttiva si applicano solo al trattamento di dati personali interamente o parzialmente automatizzato nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi.
69. Non sembra doversi ritenere che la prova d’esame del sig. Nowak sia stata trattata in maniera automatizzata, ad esempio attraverso il suo inserimento e la sua registrazione in un’apparecchiatura elettronica per il trattamento dei dati. Nondimeno essa costituisce quantomeno parte di un «archivio». Infatti, non è indispensabile, in base all’articolo 2, lettera c), della direttiva sulla protezione dei dati, che un archivio sia registrato in un’apparecchiatura elettronica per il trattamento dei dati. Piuttosto, tale nozione include qualsiasi insieme strutturato di dati personali accessibili, secondo criteri determinati. Un insieme fisico di prove d’esame scritte, ordinato alfabeticamente o secondo altri criteri, soddisfa già tali requisiti.
V. Conclusione
70. Propongo pertanto alla Corte di giustizia di deliberare come segue:
Una prova d’esame scritta a mano, attribuibile ad un candidato, incluse le eventuali correzioni degli esaminatori, costituisce dati personali ai sensi dell’articolo 2, lettera a), della direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
1 Lingua originale: il tedesco.
2 Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31) come modificata dal regolamento (CE) n. 1882/2003 del Parlamento europeo e del Consiglio, del 29 settembre 2003 (GU 2003, L 284, pag. 1).
3 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (GU 2016, L 119, pag. 1).
4 Sentenze del 6 novembre 2003, Lindqvist (C-101/01, EU:C:2003:596, punto 88), e del 7 maggio 2009, Rijkeboer (C-553/07, EU:C:2009:293, punto 59).
5 Tale sembra essere la struttura dell’esame alla base del presente procedimento. V. Strategic Finance and Management Accounting (SFMA), Interim Assessment – January 2017, Final Exam Version, Paper and Suggested Solution with Examiner’s Comments, https://www.charteredaccountants.ie/docs/default-source/dept-exams/cap2-sfma-2017-ia1-prs-final037b534808b3649fa7d8ff000079c5aa.pdf?sfvrsn= 0, consultato in data 8 giugno 2017.
6 A titolo illustrativo, sentenza del 19 ottobre 2016, Breyer (C-582/14, EU:C:2016:779, punti da 40 a 44).
7 A titolo illustrativo, sentenza del 6 ottobre 2015, Schrems (C-362/14, EU:C:2015:650, punti 40 e segg.).
8 Sentenza del 6 ottobre 2015, Schrems (C-362/14, EU:C:2015:650, punti 58 e 59).
9 Tale è la parte condivisibile delle osservazioni, per il resto non convincenti, espresse nella sentenza del Tribunale della funzione pubblica del 12 febbraio 2014, De Mendoza-Asensi/Commissione (F-127/11, EU:F:2014:14, punto 101).
10 La considerazione è valida per le versioni tedesca, inglese, francese, spagnola, italiana, portoghese, rumena, bulgara, croata, lettone, lituana, polacca, slovena, slovacca e ceca, nonché estone, greca, ungherese, maltese e finlandese. Di contro, tale nozione sembra essere assente, ad esempio, nelle versioni danese, svedese e neerlandese.
11 Sentenze del 9 marzo 1999, Centros (C-212/97, EU:C:1999:126, punto 24), e del 2 giugno 2016, Bogendorff von Wolffersdorff (C-438/14, EU:C:2016:401, punto 57).
12 Sentenza del 28 luglio, Kratzer (C-423/15, EU:C:2016:604, punti da 38 a 40 e la giurisprudenza ivi citata).
13 Sentenza del 17 luglio 2014, YS e a. (C-141/12 e C-372/12, EU:C:2014:2081, punto 46).
14 Sentenza del 17 luglio 2014, YS e a. (C-141/12 e C-372/12, EU:C:2014:2081, punto 40).
|
Home
