Diritto dei Servizi Pubblici

Home

Sentenze

Articoli

Corte di giustizia europea, Sez. VIII, 5/10/2023 n. C-659/22

La verifica, mediante un applicazione mobile, della validità di certificati COVID-19 interoperabili di vaccinazione, di test e di guarigione, costituisce un "trattamento" di dati personali, ai sensi dell'art. 4, punto 2, del RGPD

La nozione di "trattamento" di dati personali, di cui all'articolo 4, punto 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretata nel senso che:
essa include la verifica, mediante un'applicazione mobile nazionale, della validità di certificati COVID-19 interoperabili di vaccinazione, di test e di guarigione, rilasciati ai sensi del regolamento (UE) 2021/953 del Parlamento europeo e del Consiglio, del 14 giugno 2021, su un quadro per il rilascio, la verifica e l'accettazione di certificati interoperabili di vaccinazione, di test e di guarigione in relazione alla COVID-19 (certificato COVID digitale dell'UE) per agevolare la libera circolazione delle persone durante la pandemia di COVID-19, e utilizzati da uno Stato membro a fini nazionali.

Materia: privacy / tutela dati personali

SENTENZA DELLA CORTE (Ottava Sezione)

5 ottobre 2023 (*)

«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 4, punto 2 – Nozione di “trattamento” di dati personali – Applicazione mobile – Verifica della validità di “certificati COVID digitali dell’UE” rilasciati ai sensi del regolamento (UE) 2021/953»

Nella causa C-659/22,

avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Nejvyšší správní soud (Corte suprema amministrativa, Repubblica ceca), con decisione del 12 ottobre 2022, pervenuta in cancelleria il 20 ottobre 2022, nel procedimento

contro

Ministerstvo zdravotnictví,

LA CORTE (Ottava Sezione),

composta da M. Safjan, presidente di sezione, N. Piçarra e M. Gavalec (relatore), giudici,

avvocato generale: L. Medina

cancelliere: A. Calot Escobar

vista la fase scritta del procedimento,

considerate le osservazioni presentate:

– per RK, da D. Sudolská, advokátka;

– per il governo ceco, da M. Smolek, O. Serdula e J. Vlácil, in qualità di agenti;

– per il governo dei Paesi Bassi, da M.K. Bulterman e A. Hanje, in qualità di agenti;

– per la Commissione europea, da A. Bouchagiar, H. Kranenborg e P. Ondrušek, in qualità di agenti,

vista la decisione, adottata dopo aver sentito l’avvocato generale, di giudicare la causa senza conclusioni,

ha pronunciato la seguente

Sentenza

1 La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 2, paragrafo 1, e dell’articolo 4, punto 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).

2 Tale domanda è stata presentata nell’ambito di una controversia tra RK e il Ministerstvo zdravotnictví (Ministero della Salute, Repubblica ceca; in prosieguo: il «Ministero») in merito all’adozione, da parte di quest’ultimo, di una misura eccezionale che ha disciplinato l’accesso delle persone a taluni luoghi ed eventi, al fine di proteggere la popolazione dalla diffusione dell’epidemia di COVID-19.

Contesto normativo

Il RGPD

3 Ai sensi del considerando 1 del RGPD, «[l]a protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (...) e l’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea (“TFUE”) stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano».

4 L’articolo 2 di tale regolamento, intitolato «Ambito di applicazione materiale», al suo paragrafo 1 prevede quanto segue:

«Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi».

5 Il paragrafo 2 di tale articolo elenca quattro ipotesi in cui il RGPD «non si applica ai trattamenti di dati personali».

6 L’articolo 4 di detto regolamento così recita:

«Ai fini del presente regolamento s’intende per:

1) “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

2) “trattamento”, qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

(...)».

7 Gli articoli 5 e 6 del medesimo regolamento hanno ad oggetto, rispettivamente, i «[p]rincipi applicabili al trattamento di dati personali» e la «[l]iceità del trattamento».

Regolamento (UE) 2021/953

8 Il considerando 48 del regolamento (UE) 2021/953 del Parlamento europeo e del Consiglio, del 14 giugno 2021, su un quadro per il rilascio, la verifica e l’accettazione di certificati interoperabili di vaccinazione, di test e di guarigione in relazione alla COVID-19 (certificato COVID digitale dell’UE) per agevolare la libera circolazione delle persone durante la pandemia di COVID-19 (GU 2021, L 211, pag. 1), è così formulato:

«Il [RGPD] si applica al trattamento dei dati personali effettuato nel quadro del presente regolamento. Il presente regolamento stabilisce la base giuridica per il trattamento dei dati personali ai sensi dell’articolo 6, paragrafo 1, lettera c), e dell’articolo 9, paragrafo 2, lettera g), del [RGPD], necessario per il rilascio e la verifica dei certificati interoperabili previsti dal presente regolamento. (...) Gli Stati membri possono trattare i dati personali per altri fini se la base giuridica per il trattamento di tali dati ad altri fini, inclusi i relativi periodi di conservazione, è stabilita dalle legislazioni nazionali, che devono essere conformi alla normativa dell’Unione in materia di protezione di dati e ai principi di efficacia, necessità e proporzionalità, e dovrebbero contenere disposizioni che definiscono chiaramente l’ambito e la portata del trattamento, la finalità specifica in questione, le categorie di soggetti che possono verificare il certificato nonché le pertinenti garanzie per prevenire discriminazioni e abusi, tenendo conto dei rischi per i diritti e le libertà degli interessati. (...)».

9 Intitolato «Oggetto», l’articolo 1 di tale regolamento prevede quanto segue:

«Il presente regolamento stabilisce un quadro per il rilascio, la verifica e l’accettazione di certificati COVID-19 interoperabili relativi alla vaccinazione, ai test e alla guarigione (certificato COVID digitale dell’UE) con lo scopo di agevolare l’esercizio del diritto di libera circolazione durante la pandemia di COVID-19 da parte dei loro titolari. Il presente regolamento contribuisce inoltre ad agevolare la revoca graduale delle restrizioni alla libera circolazione poste in essere dagli Stati membri, in conformità del diritto dell’Unione, per limitare la diffusione del SARS-CoV-2 in modo coordinato.

Esso fornisce la base giuridica per il trattamento dei dati personali necessari per rilasciare tali certificati e per il trattamento delle informazioni necessarie per verificare e comprovare l’autenticità e la validità di tali certificati nel pieno rispetto del [RGPD]».

10 Intitolato «Certificato COVID digitale dell’UE», l’articolo 3 di tale regolamento dispone, al suo paragrafo 1, che il quadro del certificato COVID digitale dell’UE consente il rilascio e la verifica e l’accettazione transfrontaliere di certificati di vaccinazione, di certificati di test e di certificati di guarigione. Inoltre, ai sensi del suo paragrafo 2:

«[g]li Stati membri o gli organismi designati che agiscono per conto degli Stati membri rilasciano i certificati di cui al paragrafo 1 del presente articolo in formato digitale o cartaceo, o in entrambi i formati. I potenziali titolari hanno il diritto di ricevere i certificati nel formato di loro scelta. Tali certificati sono di facile utilizzo e contengono un codice a barre interoperabile che consente di verificarne l’autenticità, la validità e l’integrità. Il codice a barre è conforme alle specifiche tecniche stabilite a norma dell’articolo 9. Le informazioni figuranti nei certificati sono espresse anche in formato leggibile all’uomo e presentate almeno nella lingua o nelle lingue ufficiali dello Stato membro di rilascio e in inglese».

11 L’articolo 5, paragrafo 2, lettera a), l’articolo 6, paragrafo 2, lettera a), e l’articolo 7, paragrafo 2, lettera a), di detto regolamento dispongono, rispettivamente, che il certificato di vaccinazione, il certificato di test e il certificato di guarigione contengono l’identità del titolare.

12 L’articolo 10 del medesimo regolamento, intitolato «Protezione dei dati personali», ai suoi primi quattro paragrafi prevede quanto segue:

«1. Al trattamento dei dati personali effettuato in sede di attuazione del presente regolamento si applica il [RGPD].

2. Ai fini del presente regolamento, i dati personali figuranti nei certificati rilasciati a norma del presente regolamento sono trattati unicamente al fine di accedere alle informazioni incluse nel certificato e di verificarle per agevolare l’esercizio del diritto di libera circolazione all’interno dell’Unione durante la pandemia di COVID-19. Dopo la fine del periodo di applicazione del presente regolamento non si procede ad alcun ulteriore trattamento.

3. I dati personali inclusi nei certificati di cui all’articolo 3, paragrafo 1, sono trattati dalle autorità competenti dello Stato membro di destinazione o di transito, o dagli operatori di servizi di trasporto passeggeri transfrontalieri tenuti, a norma del diritto nazionale, ad attuare determinate misure di sanità pubblica durante la pandemia di COVID-19, unicamente per verificare e comprovare lo stato di vaccinazione, il risultato del test o la guarigione del titolare. A tal fine, i dati personali sono limitati allo stretto necessario. I dati personali consultati a norma del presente paragrafo non sono conservati.

4. I dati personali trattati ai fini del rilascio dei certificati di cui all’articolo 3, paragrafo 1, compreso il rilascio di un nuovo certificato, non sono conservati dal soggetto che ha rilasciato il certificato più a lungo dello stretto necessario per il loro scopo e in nessun caso oltre il periodo durante il quale i certificati possono essere utilizzati per esercitare il diritto di libera circolazione».

Procedimento principale e questione pregiudiziale

13 Il Ministero, con una misura eccezionale del 29 dicembre 2021 (in prosieguo: la «misura eccezionale»), adottata per proteggere la popolazione dall’estensione della diffusione della pandemia di COVID-19, ha sottoposto a diverse condizioni, a decorrere dal 3 gennaio 2022, l’accesso delle persone a taluni spazi interni ed esterni, nonché la loro partecipazione ad eventi di massa o ad altre attività. In particolare, veniva richiesto, in primo luogo, un test negativo RT-PCR per l’individuazione della presenza del virus SARS-CoV-2, risalente a meno di 72 ore, per le persone di età inferiore a 18 anni, per quelle che non potevano sottoporsi alla vaccinazione contro il COVID-19 a causa di una controindicazione, nonché per quelle che non avevano uno schema vaccinale completo; in secondo luogo, la scadenza di un periodo di almeno 14 giorni dall’ottenimento di uno schema vaccinale completo con un medicinale approvato o, in terzo luogo, il contagio, confermato da un laboratorio, con il COVID-19, qualora il periodo di isolamento fosse terminato e non fossero trascorsi più di 180 giorni a decorrere dal primo test positivo (in prosieguo: le «condizioni cosiddette di “assenza di infezione”»).

14 La misura eccezionale obbligava i clienti (spettatori, partecipanti) a fornire la prova del rispetto di tali condizioni e imponeva ai gestori (organizzatori) di verificarne l’osservanza mediante l’applicazione mobile del Ministero chiamata «cTecka». Se il cliente non dimostrava di rispettare dette condizioni, era vietato al gestore fornirgli il servizio e dargli accesso allo spazio o all’evento. Secondo la misura eccezionale, tale applicazione garantiva una verifica affidabile dell’autenticità e della validità del documento giustificativo presentato, contenente il codice QR.

15 Al fine di statuire sul ricorso di annullamento della misura eccezionale proposto da RK il 20 gennaio 2022, il Nejvyšší správní soud (Corte suprema amministrativa, Repubblica ceca), che è il giudice del rinvio, ritiene necessario esaminare anzitutto se il controllo delle condizioni cosiddette di «assenza di infezione» mediante l’applicazione «cTecka» costituisca un «trattamento» automatizzato di dati personali, ai sensi dell’articolo 4, punto 2, del RGPD, precisando di essere dell’avviso che le informazioni contenute nei certificati digitali dell’UE costituiscano dati personali, ai sensi dell’articolo 4, punto 1, di tale regolamento. In caso affermativo, detto regolamento sarebbe applicabile, conformemente al suo articolo 2, paragrafo 1.

16 Il giudice del rinvio precisa che l’applicazione «cTecka» consente di controllare e di verificare la validità dei certificati COVID digitali dell’UE rilasciati ai sensi del regolamento 2021/953. Tale applicazione scansiona il codice QR del certificato con la fotocamera del telefono cellulare della persona incaricata di effettuare il controllo. Tale persona dispone, quindi, di una panoramica dei dati identificativi di base del titolare del certificato (cognome, nome e data di nascita), nonché dello stato, valido o invalido, del certificato in parola. Cliccando su un determinato pulsante dell’applicazione, la persona incaricata di effettuare il controllo può accedere a tutte le informazioni menzionate in detto certificato, quali la vaccinazione, il tipo di vaccino, il produttore del vaccino, il numero di dosi ricevute, la data della vaccinazione, la data del primo risultato positivo e il soggetto che ha rilasciato il certificato. L’applicazione «cTecka» si limita a visualizzare temporaneamente tali dati sullo schermo del telefono cellulare della persona incaricata di effettuare il controllo, sicché detti dati non sono né conservati né trasferiti.

17 Il medesimo giudice precisa che, al fine di verificare la validità di un certificato COVID digitale dell’UE, tale applicazione scarica, una volta ogni 24 ore o su richiesta, le chiavi pubbliche dei certificati degli Stati membri e le regole di validazione degli Stati membri dall’interfaccia del Ministero. Il citato processo può svolgersi anche off-line. Quando l’applicazione viene installata sul telefono cellulare della persona incaricata di effettuare il controllo, appare un testo indicante che «l’applicazione cTecka è gestita conformemente al diritto dell’Unione e al diritto della Repubblica ceca e facilita la libera circolazione delle persone e l’accesso ai servizi e agli eventi durante la pandemia di COVID-19. L’applicazione tratta i dati personali dei titolari di certificati COVID digitali degli Stati membri dell’Unione ai fini del loro controllo da parte di persone autorizzate in forza del regolamento dell’Unione o di misure eccezionali del [Ministero] oppure su base volontaria. L’applicazione non conserva e non trasmette in alcun modo i dati personali relativi alla salute delle persone controllate. Informazioni dettagliate sul trattamento dei dati personali sono disponibili nelle condizioni di utilizzo».

18 Il giudice del rinvio rileva inoltre che, in forza dell’articolo 3, paragrafo 2, del regolamento 2021/953, il certificato rilasciato da uno Stato membro deve contenere un codice a barre interoperabile che consenta di verificarne l’autenticità, la validità e l’integrità. Esso indica che la conversione dei dati personali menzionati al punto 15 della presente sentenza, dal formato leggibile dalla macchina al formato leggibile dall’uomo, è effettuata mediante un processo automatizzato, ossia l’applicazione «cTecka», ciò che potrebbe costituire un trattamento di dati personali, ai sensi dell’articolo 4, punto 2, del RGPD.

19 Il giudice del rinvio dubita, tuttavia, che tale semplice operazione di conversione e la visualizzazione di detti dati sul telefono cellulare costituiscano un «trattamento», ai sensi di detta disposizione, tanto più che le due operazioni in parola non possono determinare un uso o uno sfruttamento abusivi dei dati personali né un’ingerenza nel diritto alla protezione di tali dati, poiché l’applicazione non trasferisce i dati così ottenuti.

20 Il giudice del rinvio considera, peraltro, che potrebbe costituire un trattamento di dati personali anche la verifica della validità del certificato attraverso l’applicazione «cTecka», dal momento che tale operazione conduce a utilizzare i dati personali contenuti in tale certificato e che si riferiscono alla salute della persona controllata. Infatti, al fine di valutare se il certificato sia valido o meno e di determinare se l’interessato soddisfi le condizioni cosiddette di «assenza di infezione» previste dalla misura eccezionale, l’applicazione dovrebbe necessariamente confrontare le informazioni riguardanti la salute di tale persona, come la data di vaccinazione, con le regole di validazione in vigore in quel momento.

21 Infine, tale giudice è dell’avviso che un trattamento di dati personali potrebbe essere costituito dalla combinazione dei processi che hanno luogo durante il controllo dei certificati attraverso l’applicazione «cTecka», ossia la conversione dei dati personali dal codice QR in un formato leggibile dall’uomo, la loro visualizzazione sul telefono cellulare, la loro consultazione da parte del verificatore e l’accertamento della validità del certificato da parte di tale applicazione mediante un confronto dei dati personali relativi alla salute con le regole di validazione. Sebbene, considerate individualmente, tali operazioni possano non costituire un trattamento, ai sensi dell’articolo 4, punto 2, del RGPD, la loro combinazione potrebbe condurre a tale qualificazione.

22 In tale prospettiva, detto giudice rileva che l’articolo 10, paragrafi 1 e 3, del regolamento 2021/953 dispone espressamente che, ai fini dell’esercizio del diritto di libera circolazione all’interno dell’Unione, al trattamento dei dati personali inclusi nei certificati COVID digitali dell’UE si applica il RGPD. Inoltre, secondo il considerando 48 del regolamento 2021/953, il trattamento dei dati personali inclusi nei certificati dovrebbe avere un regime giuridico uniforme.

23 In tali circostanze, il Nejvyšší správní soud (Corte suprema amministrativa) ha deciso di sospendere il procedimento e di sottoporre alla Corte la seguente questione pregiudiziale:

«Se la verifica della validità dei certificati interoperabili di vaccinazione, di test e di guarigione, in relazione alla malattia COVID-19, rilasciati ai sensi del regolamento [2021/953] e utilizzati dalla Repubblica ceca a fini nazionali con l’applicazione nazionale “cTecka”, comporti un trattamento automatizzato dei dati personali, ai sensi dell’articolo 4, punto 2, del [RGPD], rientrando quindi nell’ambito di applicazione materiale [di detto regolamento] ai sensi dell’articolo 2, paragrafo 1, di tale regolamento».

Sulla questione pregiudiziale

24 Con la sua questione il giudice del rinvio chiede, in sostanza, se la nozione di «trattamento» di dati personali, di cui all’articolo 4, punto 2, del RGPD, debba essere interpretata nel senso che essa include la verifica, mediante un’applicazione mobile nazionale, della validità di certificati COVID-19 interoperabili di vaccinazione, di test e di guarigione, rilasciati ai sensi del regolamento 2021/953 e utilizzati da uno Stato membro a fini nazionali.

25 È pacifico che molte delle informazioni alle quali la persona incaricata di effettuare il controllo accede al momento della verifica della validità di un certificato COVID digitale dell’UE, come illustrate al punto 15 della presente sentenza, costituiscono «dat[i] personal[i]», ai sensi dell’articolo 4, punto 1, del RGPD. Da tale disposizione risulta, infatti, che la nozione di «dat[i] personal[i]» designa «qualsiasi informazione riguardante una persona fisica identificata o identificabile» e che tale identificazione può risultare, in particolare, dall’uso del nome dell’interessato.

26 A quest’ultimo riguardo, è sufficiente constatare che l’articolo 5, paragrafo 2, lettera a), l’articolo 6, paragrafo 2, lettera a), e l’articolo 7, paragrafo 2, lettera a), del regolamento 2021/953 dispongono, rispettivamente, che il certificato di vaccinazione, il certificato di test e il certificato di guarigione contengono l’identità del titolare.

27 Ciò precisato, occorre rilevare che l’articolo 4, punto 2, del RGPD definisce la nozione di «trattamento» come «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali». In un elenco non tassativo, introdotto dalla locuzione «come», tale disposizione menziona, quali esempi di trattamento, la consultazione e l’uso di dati personali. Dalla formulazione di detta disposizione, in particolare dall’espressione «qualsiasi operazione», risulta dunque che il legislatore dell’Unione ha inteso attribuire alla nozione di «trattamento» una portata ampia [v., in tal senso, sentenza del 24 febbraio 2022, Valsts ienemumu dienests (Trattamento di dati personali a fini fiscali), C-175/20, EU:C:2022:124, punto 35].

28 Tale interpretazione ampia delle nozioni di «dati personali» e di «trattamento» è conforme all’obiettivo di garantire l’effettività del diritto fondamentale alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale, menzionato al considerando 1 del RGPD, che presiede all’applicazione di tale regolamento.

29 Orbene, nel caso di specie un’applicazione mobile nazionale, quale è l’applicazione «cTecka», scansiona il codice QR che compare sul certificato COVID digitale dell’UE, al fine di convertire i dati personali contenuti in tale codice in un formato leggibile dalla persona incaricata di verificare la validità di detto certificato. Così facendo, una tale applicazione consente alla persona incaricata di effettuare il controllo di consultare, al termine di un processo automatizzato, vale a dire la scansione, taluni dati personali e di utilizzarli al fine di accertare se la situazione dell’interessato sia conforme alle regole di validazione, ossia ai requisiti sanitari applicabili. Anche il risultato di tale valutazione è automatizzato, poiché sul telefono cellulare del verificatore appare una spunta verde quando sono soddisfatti i requisiti sanitari, mentre in caso contrario compare una croce rossa.

30 Si deve quindi ritenere che la verifica, mediante l’applicazione «cTecka», della validità di certificati COVID-19 interoperabili di vaccinazione, di test e di guarigione, rilasciati ai sensi del regolamento 2021/953, costituisca un «trattamento», ai sensi dell’articolo 4, punto 2, del RGPD e rientri, conformemente all’articolo 2, paragrafo 1, di tale regolamento, nell’ambito di applicazione materiale di quest’ultimo.

31 L’interpretazione di cui al punto 29 della presente sentenza è corroborata dal regolamento 2021/953, il quale prevede che l’attuazione del certificato COVID digitale dell’UE costituisca un trattamento ai sensi dell’articolo 4, punto 2, del RGPD. L’articolo 1, paragrafo 2, del regolamento 2021/953 enuncia, infatti, che tale regolamento «fornisce la base giuridica per il trattamento dei dati personali necessari per rilasciare tali certificati e per il trattamento delle informazioni necessarie per verificare e comprovare l’autenticità e la validità di tali certificati nel pieno rispetto del [RGPD]». Inoltre, dal considerando 48 del regolamento 2021/953 risulta, da un lato, che il RGPD si applica al trattamento dei dati personali effettuato nel quadro del regolamento 2021/953 e, dall’altro, che quest’ultimo stabilisce la base giuridica per il trattamento dei dati personali, ai sensi dell’articolo 6, paragrafo 1, lettera c), e dell’articolo 9, paragrafo 2, lettera g), del RGPD, necessario per il rilascio e la verifica dei certificati interoperabili previsti dal regolamento 2021/953. L’articolo 10, paragrafo 1, di tale regolamento conferma parimenti che al trattamento dei dati personali effettuato in sede di attuazione del regolamento 2021/953 si applica il RGPD.

32 Spetterà, di conseguenza, al giudice del rinvio verificare se il trattamento introdotto dalla misura eccezionale, da un lato, sia conforme ai principi relativi al trattamento dei dati elencati all’articolo 5 del RGPD e, dall’altro, risponda a uno dei principi relativi alla liceità del trattamento elencati all’articolo 6 di tale regolamento [v., in particolare, sentenze del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C-439/19, EU:C:2021:504, punto 96, e del 4 maggio 2023, Bundesrepublik Deutschland, C-60/22, EU:C:2023:373, punto 57].

33 Alla luce delle considerazioni che precedono, la nozione di «trattamento» di dati personali, di cui all’articolo 4, punto 2, del RGPD, deve essere interpretata nel senso che essa include la verifica, mediante un’applicazione mobile nazionale, della validità di certificati COVID-19 interoperabili di vaccinazione, di test e di guarigione, rilasciati ai sensi del regolamento 2021/953 e utilizzati da uno Stato membro a fini nazionali.

Sulle spese

34 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Ottava Sezione) dichiara:

La nozione di «trattamento» di dati personali, di cui all’articolo 4, punto 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),

deve essere interpretata nel senso che:

essa include la verifica, mediante un’applicazione mobile nazionale, della validità di certificati COVID-19 interoperabili di vaccinazione, di test e di guarigione, rilasciati ai sensi del regolamento (UE) 2021/953 del Parlamento europeo e del Consiglio, del 14 giugno 2021, su un quadro per il rilascio, la verifica e l’accettazione di certificati interoperabili di vaccinazione, di test e di guarigione in relazione alla COVID-19 (certificato COVID digitale dell’UE) per agevolare la libera circolazione delle persone durante la pandemia di COVID-19, e utilizzati da uno Stato membro a fini nazionali.

Firme