Pubblicate il 22 febbraio 2024 le conclusioni dell’avvocato generale della Corte di Giustizia P. Pikamäe nella causa C-693/22, sulla conformità al GDPR della vendita di una banca dati tramite un’esecuzione civile, senza il consenso degli interessati.
Secondo l’avvocato generale, una banca di dati personali può essere venduta, a determinate condizioni, nell’ambito di un procedimento di esecuzione forzata, anche se le persone interessate da tali dati non vi abbiano acconsentito.
Ciò, tuttavia, è lecito solo se il trattamento di dati connesso a una tale vendita è necessario e proporzionato a salvaguardare l’esecuzione di un’azione civile.
Preliminarmente, l’Avvocato generale ritiene che le operazioni effettuate dall’ufficiale giudiziario ai fini della stima del valore delle banche di dati oggetto di esecuzione, e della loro vendita all’asta, rientrino nell’ambito di applicazione del GDPR, poiché includono quantomeno l’estrazione, la consultazione, l’uso e la messa a disposizione dell’acquirente dei dati personali.
Conseguentemente, tali operazioni non possono che essere considerate come un «trattamento» di tali dati, ai sensi del Regolamento, e l’ufficiale giudiziario deve essere qualificato come titolare di tale trattamento.
Il trattamento in questione è pertanto lecito quando è necessario per svolgere un compito rientrante nell’esercizio dei pubblici poteri di cui l’ufficiale giudiziario è investito.
Infine, l’avvocato generale constata che la finalità del trattamento effettuato dall’ufficiale giudiziario differisce da quella di consentire l’utilizzo della piattaforma online venduta.
Pertanto, affinché tale ulteriore trattamento possa essere considerato compatibile con il GDPR, esso deve costituire una misura necessaria e proporzionata per conseguire uno degli obiettivi di interesse generale previsti dal regolamento: tra tali obiettivi, quello relativo all’esecuzione delle azioni civili può, in linea di principio, certamente giustificare il trattamento dei dati in questione nel caso di specie