avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’art. 234 CE, dal Korkein hallinto-oikeus (Finlandia) con decisione 8 febbraio 2007, pervenuta in cancelleria il 12 febbraio 2007, nella causa
Tietosuojavaltuutettu
contro
Satakunnan Markkinapörssi Oy,
Satamedia Oy,
LA CORTE (Grande Sezione),
composta dal sig. V. Skouris, presidente, dai sigg. *******, *******************, ********, *********** e **********; Caoimh, presidenti di sezione, P. Kuris, ******ász, **********, ***************, *********, U. Lõhmus e E. Levits (relatore), giudici,
avvocato generale: sig.ra *********
cancelliere: sig.ra C. Strömholm, amministratore
vista la fase scritta del procedimento e in seguito all’udienza del 12 febbraio 2008,
considerate le osservazioni presentate:
– per la Satakunnan Markkinapörssi Oy e la Satamedia Oy, dall’avv. *********, lakimies;
– per il governo finlandese, dal sig. J. Heliskoski, in qualità di agente;
– per il governo estone, dal sig. *******, in qualità di agente;
– per il governo portoghese, dal sig. L.I. ********* e dalla sig.ra ******************, in qualità di agenti;
– per il governo svedese, dalle sig.re ******* e ************, in qualità di agenti;
– per la Commissione delle Comunità europee, dai sigg. ********** e P. Aalto, in qualità di agenti,
sentite le conclusioni dell’avvocato generale, presentate all’udienza dell’8 maggio 2008,
ha pronunciato la seguente
Sentenza
1 La domanda di pronuncia pregiudiziale verte sull’interpretazione della direttiva del Parlamento europeo e del Consiglio 24 ottobre 1995, 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281, pag. 31; in prosieguo: la «direttiva»).
2 Tale domanda è stata presentata nell’ambito di una controversia tra il tietosuojavaltuutettu (Mediatore incaricato della tutela dei dati) e la tietosuojalautakunta (commissione per la tutela dei dati) in merito ad attività di trattamento di dati personali svolte dalle società Satakunnan Markkinapörssi Oy (in prosieguo: la «Markkinapörssi») e Satamedia Oy (in prosieguo: la «Satamedia»).
Contesto normativo
La normativa comunitaria
3 Come risulta dal suo art. 1, n. 1, la direttiva verte sulla tutela dei diritti e delle libertà fondamentali delle persone fisiche, in particolare della loro vita privata, riguardo al trattamento dei dati personali.
4 L’art. 1, n. 2, della direttiva dispone:
«Gli Stati membri non possono restringere o vietare la libera circolazione dei dati personali tra Stati membri, per motivi connessi alla tutela garantita a norma del paragrafo 1».
5 L’art. 2 della direttiva, intitolato «Definizioni», così dispone:
«Ai fini della presente direttiva si intende per:
a) “dati personali”: qualsiasi informazione concernente una persona fisica identificata o identificabile (“persona interessata”); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale;
b) “trattamento di dati personali” (“trattamento”): qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione;
c) “archivio di dati personali” (“archivio”): qualsiasi insieme strutturato di dati personali accessibili, secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
(…)».
6 L’art. 3 della direttiva definisce l’ambito di applicazione di quest’ultima come segue:
«1. Le disposizioni della presente direttiva si applicano al trattamento di dati personali interamente o parzialmente automatizzato nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi.
2. Le disposizioni della presente direttiva non si applicano ai trattamenti di dati personali [:]
– effettuati per l’esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del trattato sull’Unione europea e comunque ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale;
– effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico».
7 La relazione tra la tutela dei dati personali e la libertà d’espressione è disciplinata dall’art. 9 della direttiva, intitolato «Trattamento di dati personali e libertà d’espressione», nei seguenti termini:
«Gli Stati membri prevedono, per il trattamento di dati personali effettuato esclusivamente a scopi giornalistici o di espressione artistica o letteraria, le esenzioni o le deroghe alle disposizioni del presente capo e dei capi IV e VI solo qualora si rivelino necessarie per conciliare il diritto alla vita privata con le norme sulla libertà d’espressione».
8 A questo riguardo, il trentasettesimo ‘considerando’ della direttiva recita come segue:
«considerando che il trattamento di dati personali a scopi giornalistici o di espressione artistica o letteraria, in particolare nel settore audiovisivo deve beneficiare di deroghe o di limitazioni a determinate disposizioni della presente direttiva ove sia necessario per conciliare i diritti fondamentali della persona con la libertà di espressione ed in particolare la libertà di ricevere o di comunicare informazioni, quale garantita in particolare dall’articolo 10 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali; che pertanto, al fine di stabilire un equilibrio fra i diritti fondamentali, gli Stati membri devono prevedere le deroghe e le limitazioni necessarie in materia di misure generali concernenti la legittimità del trattamento di dati, di misure relative al trasferimento di dati nei paesi terzi nonché di competenze degli uffici preposti al controllo; che tuttavia ciò non dovrebbe permettere agli Stati membri di prevedere deroghe alle misure di garanzia della sicurezza del trattamento; che agli uffici preposti al controllo in tale settore dovrebbero essere parimenti conferite almeno determinate competenze a posteriori, ad esempio la competenza di pubblicare periodicamente una relazione o di adire l’autorità giudiziaria».
9 L’art. 13 della direttiva, intitolato «Deroghe e restrizioni», così dispone:
«1. Gli Stati membri possono adottare disposizioni legislative intese a limitare la portata degli obblighi e dei diritti previsti dalle disposizioni dell’articolo 6, paragrafo 1, dell’articolo 10, dell’articolo 11, paragrafo 1 e degli articoli 12 e 21, qualora tale restrizione costituisca una misura necessaria alla salvaguardia:
a) della sicurezza dello Stato;
(…)».
10 L’art. 17 della direttiva, intitolato «Sicurezza dei trattamenti», enuncia quanto segue:
«1. Gli Stati membri dispongono che il responsabile del trattamento deve attuare misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all’interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali.
Tali misure devono garantire, tenuto conto delle attuali conoscenze in materia e dei costi dell’applicazione, un livello di sicurezza appropriato rispetto ai rischi presentati dal trattamento e alla natura dei dati da proteggere.
2. Gli Stati membri dispongono che il responsabile del trattamento, quando quest’ultimo sia eseguito per suo conto, deve scegliere un incaricato del trattamento che presenti garanzie sufficienti in merito alle misure di sicurezza tecnica e di organizzazione dei trattamenti da effettuare e deve assicurarsi del rispetto di tali misure.
(…)».
La normativa nazionale
11 L’art. 10, n. 1, della Costituzione [perustuslaki (731/1999)] 11 giugno 1999 dispone quanto segue:
«Chiunque ha diritto a che siano garantiti la sua vita privata, il suo onore e l’inviolabilità del suo domicilio. La tutela dei dati personali è dettagliatamente regolata dalla legge».
12 Ai sensi dell’art. 12 della Costituzione:
«Chiunque dispone della libertà di espressione. La libertà di espressione comprende il diritto di esprimersi, pubblicare e ricevere informazioni, opinioni e altri messaggi senza qualsivoglia censura preventiva. Disposizioni più precise sull’esercizio della libertà di espressione vengono adottate per legge. (…)
Documenti ed altre registrazioni in possesso delle autorità sono pubblici a meno che il loro carattere pubblico sia stato specificamente limitato per motivi imperativi. Chiunque ha il diritto di ottenere informazioni su documenti e registrazioni pubbliche».
13 La legge 22 aprile 1999 sui dati personali [henkilötietolaki (523/1999)], che ha trasposto la direttiva nel diritto nazionale, si applica ai trattamenti di siffatti dati (art. 2, n. 1), eccezion fatta per gli archivi nominativi che contengono solo informazioni pubblicate in quanto tali nei media (art. 2, n. 4). Essa si applica solo parzialmente al trattamento dei dati personali a fini redazionali e a fini artistici o letterari (art. 2, n. 5).
14 L’art. 32 della legge sui dati personali prevede che il responsabile degli archivi ponga in essere le misure tecniche e organizzative indispensabili per proteggere i dati personali da un accesso ingiustificato e da distruzione, cambiamenti, cessioni, trasferimenti accidentali o illeciti ovvero da qualunque altro trattamento illecito di tali dati.
15 Anche la legge 21 maggio 1999 sulla pubblicità delle autorità pubbliche [laki viranomaisten toiminnan julkisuudesta (621/1999)] disciplina l’accesso all’informazione.
16 Ai sensi dell’art. 1, n. 1, della legge sulla pubblicità delle autorità pubbliche, la norma generale è che i documenti previsti dalla legge in parola sono pubblici.
17 L’art. 9 di detta legge dispone che chiunque ha il diritto di accedere a documenti pubblici di dette autorità.
18 L’art. 16, n. 1, della stessa legge definisce le modalità di accesso a un documento di quel tipo. Tale disposizione prevede che le autorità pubbliche comunichino verbalmente il contenuto del documento o che mettano il documento a disposizione nei loro uffici affinché possa essere consultato, copiato, ascoltato ovvero anche consegnato sotto forma di copia o di estratto stampato.
19 Il n. 3 di tale articolo fissa le condizioni alle quali possono essere trasmessi i dati figuranti negli archivi che contengono dati personali delle pubbliche autorità:
«È possibile consegnare una copia o un estratto contenente dati personali di un archivio nominativo delle autorità pubbliche o tali dati possono essere trasmessi in formato elettronico, laddove la presente legge non disponga altrimenti, qualora il destinatario sia autorizzato, conformemente alla normativa sulla tutela dei dati personali, a conservare ed elaborare i dati di cui trattasi. Tuttavia questi ultimi possono essere ceduti a fini di direct marketing, di sondaggi d’opinione o di ricerche di mercato solo se così specificamente previsto dalla legge o se l’interessato ha dato il suo assenso».
20 Il giudice del rinvio osserva che la legge 30 dicembre 1999 sulla pubblicità e la riservatezza dei dati fiscali [laki verotustietojen julkisuudesta ja salassapidosta (1346/1999)] prevale sulla legge sui dati personali nonché su quella sulla pubblicità delle attività delle autorità pubbliche.
21 Ai sensi dell’art. 2 di detta legge, ai documenti e ai dati fiscali si applicano le disposizioni della legge sulla pubblicità delle autorità pubbliche e della legge sui dati personali, salvo contraria disposizione legislativa.
22 L’art. 3 di questa stessa legge enuncia quanto segue:
«I dati fiscali sono pubblici conformemente alle disposizioni della presente legge.
Chiunque ha il diritto di accedere ai documenti fiscali pubblici in possesso delle autorità tributarie secondo le modalità previste dalla legge sulla pubblicità delle autorità pubbliche, fatte salve le eccezioni enunciate da tale legge».
23 Ai sensi dell’art. 5, n. 1, di tale legge, le informazioni pubbliche relative all’imposizione annuale sono il nome del soggetto passivo dell’imposta, la sua data di nascita e il suo comune di residenza. Sono pubblici tra l’altro i seguenti dati:
«1. il reddito da lavoro imponibile ai fini dell’imposta statale;
2. il reddito da capitale e il patrimonio imponibili ai fini dell’imposta statale;
3. il reddito imponibile ai fini dell’imposta comunale;
4. l’imposta sul reddito e sul patrimonio, l’imposta comunale nonché l’entità globale delle imposte e tasse addebitate.
(…)».
24 Da ultimo, il capo 24, art. 8, del codice penale finlandese (rikoslaki, nella sua versione risultante dalla legge 531/2000) sanziona la divulgazione di informazioni che violano la vita privata. È pertanto punibile il fatto di diffondere presso numerose persone, rendendole accessibili attraverso i media o altri mezzi, informazioni, insinuazioni o immagini concernenti la vita privata altrui, in modo tale da causare danno o sofferenza alla persona offesa o da gettare discredito su quest’ultima.
Causa principale e questioni pregiudiziali
25 Da diversi anni la Markkinapörssi raccoglie, presso autorità fiscali finlandesi, dati accessibili al pubblico al fine di pubblicare estratti di tali dati, con cadenza annuale, nelle edizioni regionali del giornale Veropörssi.
26 Tra le informazioni contenute in tali pubblicazioni rientrano nome e cognome di circa 1,2 milioni di persone fisiche aventi un reddito superiore a determinate soglie così come, con un’approssimazione di EUR 100, l’importo del reddito da capitale e da lavoro nonché indicazioni relative all’assoggettamento ad imposta del loro patrimonio. Tali informazioni sono comunicate sotto forma di un elenco alfabetico e classificate per comune e categoria di reddito.
27 Secondo la decisione di rinvio, la Markkinapörssi indica che i dati personali pubblicati nel giornale Veropörssi possono essere ritirati su richiesta, senza che ciò comporti costi.
28 Sebbene tale giornale contenga anche articoli, sunti e annunci, il suo principale obiettivo è costituito dalla pubblicazione di informazioni personali di natura fiscale.
29 La Markkinapörssi cedeva, sotto forma di CD-ROM, alla Satamedia, detenuta dagli stessi azionisti, i dati personali pubblicati nel Veropörssi, al fine di diffonderli mediante un sistema di SMS. A tale scopo, le due società stipulavano un accordo con una società di telefonia mobile che, per conto della Satamedia, realizzava un servizio di SMS che consentiva agli utilizzatori di telefoni cellulari di ricevere sul loro telefono, contro pagamento di circa EUR 2, le informazioni pubblicate nel Veropörssi. Su richiesta, i dati personali vengono ritirati dal servizio in questione.
30 Il tietosuojavaltuutettu e la tietosuojalautakunta, autorità finlandesi preposte alla tutela dei dati, controllano il trattamento dei dati personali e hanno facoltà di decidere alle condizioni stabilite dalla legge sui dati personali.
31 A fronte di reclami di privati che deducevano la violazione della loro vita privata il tietosuojavaltuutettu, incaricato di indagare sulle attività della Markkinapörssi e della Satamedia, il 10 marzo 2004 chiedeva alla tietosuojalautakunta di vietare a queste ultime di continuare a svolgere le attività relative al trattamento dei dati personali di cui trattasi.
32 Poiché la tietosuojalautakunta respingeva tale domanda, il tietosuojavaltuutettu presentava ricorso dinanzi allo Helsingin hallinto-oikeus (Tribunale amministrativo di Helsinki) che, a sua volta, respingeva il ricorso. Il tietosuojavaltuutettu interponeva allora appello dinanzi al Korkein hallinto-oikeus.
33 Il giudice del rinvio mette in evidenza che il ricorso di impugnazione proposto dal tietosuojavaltuutettu non verte sulla cessione di informazioni da parte delle autorità finlandesi. Esso precisa altresì che il carattere pubblico dei dati fiscali in questione non è posto in discussione. Per contro, esso nutre dubbi in merito al successivo trattamento di tali dati.
34 In tale contesto, esso ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se vada considerata quale “trattamento di dati personali” ai sensi dell’art. 3, n. 1, della direttiva (…) un’attività consistente nel:
a) raccogliere dati sul reddito da lavoro e da capitale nonché sul patrimonio di persone fisiche da documenti pubblici delle autorità tributarie e trattarli ai fini della loro pubblicazione;
b) pubblicarli in ordine alfabetico e per classi di reddito, sotto forma di elenchi particolareggiati redatti per singoli comuni;
c) cederli sotto forma di CD-ROM perché siano utilizzati a fini commerciali;
d) trattarli nell’ambito di un servizio di SMS che consenta agli utilizzatori di telefoni mobili, previa comunicazione del nome e della residenza di una persona, di ricevere dati sul reddito da lavoro e da capitale nonché sul patrimonio di tale persona.
2) Se la direttiva (…) vada interpretata nel senso che le varie operazioni menzionate supra nella prima questione, sub a)-d), possono ritenersi quali “trattamento di dati personali effettuato esclusivamente a scopi giornalistici” ai sensi dell’art. 9 della direttiva, quando si prende in considerazione il fatto che sono stati raccolti dati riguardanti più di un milione di soggetti passivi di imposta fondandosi su documenti che sono pubblici a norma della legislazione nazionale sull’accesso all’informazione. Se per la valutazione della causa sia rilevante la circostanza che l’obiettivo principale di questa attività è la pubblicazione di tali dati.
3) Se l’art. 17 della direttiva (…) vada interpretato in conformità con i principi e gli obiettivi della direttiva stessa nel senso che la pubblicazione di dati raccolti a scopi giornalistici e la loro ulteriore cessione a fini commerciali sono incompatibili con tale disposizione.
4) Se la direttiva (…) possa interpretarsi nel senso che esulano del tutto dal suo campo di applicazione gli archivi di dati personali contenenti solo informazioni già pubblicate in quanto tali nei media».
Sulle questioni pregiudiziali
Sulla prima questione
35 Si deve constatare che i dati previsti da tale questione, che riguardano il nome e il cognome di talune persone fisiche aventi un reddito superiore a determinate soglie nonché, in particolare e con un’approssimazione di EUR 100, l’importo del reddito da capitale e da lavoro, costituiscono dati personali ai sensi dell’art. 2, lett. a), della direttiva 95/46, dato che si tratta di «informazion[i] concernent[i] una persona fisica identificata o identificabile» (v., altresì, sentenza 20 maggio 2003, cause riunite C-465/00, C-138/01 e C-139/01, Österreichischer ******** e a., Racc. pag. I-4989, punto 64).
36 Basta inoltre osservare che dalla stessa lettura della definizione contenuta all’art. 2, lett. b), della direttiva discende che l’attività su cui verte tale questione rientra nella definizione del «trattamento di dati personali» ai sensi di tale disposizione della direttiva.
37 Occorre quindi risolvere la prima questione dichiarando che l’art. 3, n. 1, della direttiva deve essere interpretato nel senso che un’attività consistente nel:
– raccogliere dati sul reddito da lavoro e da capitale nonché sul patrimonio di persone fisiche da documenti pubblici delle autorità tributarie e trattarli ai fini della loro pubblicazione;
– pubblicarli in ordine alfabetico e per classi di reddito, sotto forma di elenchi particolareggiati redatti per singoli comuni;
– cederli sotto forma di CD-ROM perché siano utilizzati a fini commerciali;
– trattarli nell’ambito di un servizio di SMS che consenta agli utilizzatori di telefoni mobili, previa comunicazione del nome e della residenza di una persona, di ricevere dati sul reddito da lavoro e da capitale nonché sul patrimonio di tale persona
deve essere considerata come un trattamento di dati personali ai sensi di tale disposizione.
Sulla quarta questione
38 Con la sua quarta questione, che occorre esaminare in secondo luogo, il giudice del rinvio chiede, sostanzialmente, se attività di trattamento di dati personali come quelle previste nella prima questione, sub c) e d), riguardanti archivi nominativi contenenti solo informazioni già pubblicate in quanto tali nei media, rientrino nell’ambito di applicazione della direttiva.
39 Al riguardo, in forza dell’art. 3, n. 2, della direttiva, quest’ultima non si applica ai trattamenti di dati personali in due fattispecie.
40 La prima riguarda i trattamenti di dati personali effettuati per l’esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del Trattato sull’Unione europea e comunque ai trattamenti aventi ad oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale.
41 Le attività menzionate a titolo esemplificativo nel primo trattino di tale disposizione sono, in tutti i casi, attività proprie degli Stati o delle autorità statali, estranee ai settori di attività dei singoli. Esse sono destinate a definire la portata dell’eccezione ivi prevista, di modo che detta eccezione si applica solo alle attività che vi sono così espressamente menzionate e che possono essere ascritte alla stessa categoria (eiusdem generis) (v. sentenza 6 novembre 2003, causa C-101/01, Lindqvist, Racc. pag. I-12971, punti 43 e 44).
42 Orbene, attività di trattamento di dati personali come quelle enunciate nella prima questione, sub c) e d), riguardano attività di società private. Queste attività non rientrano assolutamente in un ambito istituito dai poteri pubblici e attinente alla pubblica sicurezza. Di conseguenza, siffatte attività non possono essere assimilate a quelle di cui all’art. 3, n. 2, della direttiva (v., in tal senso, sentenza 30 maggio 2006, cause riunite C-317/04 e C-318/04, Parlamento/Consiglio, Racc. pag. I-4721, punto 58).
43 Per quanto riguarda la seconda fattispecie, prevista al secondo trattino di tale disposizione, il dodicesimo ‘considerando’ della direttiva, relativo all’eccezione di cui trattasi, menziona, quali esempi di trattamento di dati effettuato da una persona fisica nell’esercizio di attività a carattere esclusivamente personale o domestico, la corrispondenza e la compilazione di elenchi di indirizzi.
44 Ne discende che tale seconda eccezione deve interpretarsi nel senso che comprende unicamente le attività che rientrano nell’ambito della vita privata o familiare dei singoli (v. sentenza Lindqvist, cit., punto 47). Questo non è, manifestamente, il caso per quanto riguarda le attività della Markkinapörssi e della Satamedia, il cui obiettivo è quello di portare i dati rilevati a conoscenza di un numero indefinito di persone.
45 Si deve pertanto concludere che attività di trattamento di dati personali come quelle previste nella prima questione, sub c) e d), non sono ricomprese in una delle fattispecie enunciate all’art. 3, n 2, della direttiva.
46 Peraltro, occorre rilevare che la direttiva non prevede alcuna ulteriore limitazione al suo ambito di applicazione.
47 A questo riguardo, l’avvocato generale osserva al paragrafo 125 delle sue conclusioni che l’art. 13 della direttiva autorizza deroghe solo a determinate disposizioni di quest’ultima tra le quali non si annovera l’art. 3.
48 Infine, occorre rilevare che una deroga generale all’applicazione della direttiva a favore di informazioni pubblicate renderebbe ampiamente superflua la direttiva stessa. Infatti, agli Stati membri basterebbe far pubblicare determinati dati per eludere la tutela prevista dalla direttiva.
49 Si deve pertanto risolvere la quarta questione nel senso che le attività di trattamento di dati personali come quelle previste nella prima questione, sub c) e d), riguardanti archivi delle pubbliche autorità contenenti dati personali che comprendono solo informazioni già pubblicate in quanto tali nei media, rientrano nell’ambito di applicazione della direttiva.
Sulla seconda questione
50 Con la sua seconda questione il giudice del rinvio chiede, in sostanza, se l’art. 9 della direttiva sia da interpretarsi nel senso che le attività menzionate nella prima questione, sub a)-d), relative a dati provenienti da documenti che sono pubblici secondo la normativa nazionale, devono essere considerate attività di trattamento di dati personali esercitate esclusivamente a scopi giornalistici. Tale organo giurisdizionale precisa che desidera sapere se per tale valutazione sia rilevante la circostanza che l’obiettivo principale di dette attività è la pubblicazione dei dati di cui trattasi.
51 Si deve rilevare, in limine, che, secondo costante giurisprudenza, l’interpretazione delle disposizioni di una direttiva dev’essere effettuata con riferimento all’obiettivo perseguito da quest’ultima e al sistema da essa istituito (v., in tal senso, sentenza 11 settembre 2008, causa C-265/07, *******, non ancora pubblicata nella Raccolta, punto 14).
52 A tale proposito, è pacifico, come emerge dall’art. 1 della direttiva, che la finalità di quest’ultima è che gli Stati membri, pur consentendo la libera circolazione dei dati personali, garantiscano la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, riguardo al trattamento di tali dati.
53 Tale finalità tuttavia non può essere perseguita senza tener conto del fatto che questi diritti fondamentali devono essere conciliati, in una certa misura, con il diritto fondamentale della libertà d’espressione.
54 Una siffatta conciliazione è prevista all’art. 9 della direttiva. Come emerge in particolare dal trentasettesimo ‘considerando’ della direttiva, l’art. 9 di quest’ultima persegue la finalità di conciliare due diritti fondamentali, vale a dire, da un lato, la tutela della vita privata e, dall’altro, la libertà di espressione. Tale compito incombe agli Stati membri.
55 Nella prospettiva di conciliare questi due «diritti fondamentali» ai sensi della direttiva, gli Stati membri sono chiamati a prevedere determinate deroghe o limitazioni alla tutela dei dati, e quindi del diritto alla vita privata, previste nei capi II, IV e VI di detta direttiva. ? consentito procedere a tali deroghe esclusivamente a scopi giornalistici o di espressione artistica o letteraria, rientranti nel diritto fondamentale della libertà d’espressione, soltanto nei limiti in cui esse risultino necessarie per conciliare il diritto alla vita privata con le norme che disciplinano la libertà d’espressione.
56 Onde tener conto dell’importanza riconosciuta alla libertà d’espressione in ogni società democratica, da un lato occorre interpretare in senso ampio le nozioni ad essa correlate, tra cui quella di giornalismo. Dall’altro, e per ottenere un equilibrato contemperamento dei due diritti fondamentali, la tutela del diritto fondamentale alla vita privata richiede che le deroghe e le limitazioni alla tutela dei dati previste ai summenzionati capi della direttiva debbano operare entro i limiti dello stretto necessario.
57 In tale contesto, si devono considerare i seguenti elementi.
58 In primo luogo, come l’avvocato generale ha sottolineato al paragrafo 65 delle sue conclusioni e come emerge dai lavori preparatori della direttiva, le esenzioni e le deroghe di cui all’art. 9 della direttiva si applicano non solo alle imprese operanti nel settore dei media ma anche a chiunque svolga attività giornalistica.
59 In secondo luogo, il fatto che una pubblicazione di dati a carattere pubblico sia connessa a uno scopo di lucro non esclude a priori che possa essere considerata come un’attività «esclusivamente a scopi giornalistici». Infatti, come osservano la Markkinapörssi e la Satamedia nelle loro osservazioni e l’avvocato generale al paragrafo 82 delle sue conclusioni, ogni impresa intende realizzare un profitto con la sua attività. Un certo successo commerciale può anche costituire la condizione sine qua non per la sussistenza di un giornalismo professionistico.
60 In terzo luogo, occorre tener conto dell’evolversi e del moltiplicarsi dei mezzi di comunicazione e di diffusione di informazioni. Come è stato osservato in particolare dal governo svedese, il supporto mediante il quale vengono trasmessi i dati oggetto di trattamento, classico come la carta o le onde hertziane oppure elettronico come Internet, non è determinante per valutare se si tratti di un’attività «esclusivamente a scopi giornalistici».
61 Da tutto quanto precedentemente esposto discende che attività come quelle di cui alla causa principale, relative a dati provenienti da documenti pubblici secondo la normativa nazionale, possono essere qualificate come «attività giornalistiche» qualora siano dirette a divulgare al pubblico informazioni, opinioni o idee, indipendentemente dal mezzo di trasmissione utilizzato. Esse non sono riservate alle imprese operanti nel settore dei media e possono essere connesse a uno scopo di lucro.
62 Si deve pertanto risolvere la seconda questione dichiarando che l’art. 9 della direttiva deve essere interpretato nel senso che le attività menzionate nella prima questione, sub a)-d), relative a dati provenienti da documenti che sono pubblici secondo la normativa nazionale, devono essere considerate attività di trattamento di dati personali esercitate «esclusivamente a scopi giornalistici» ai sensi di tale disposizione, qualora la loro unica finalità consista nella divulgazione al pubblico di informazioni, opinioni o idee, cosa che spetta al giudice nazionale valutare.
Sulla terza questione
63 Con la sua terza questione il giudice del rinvio chiede, in sostanza, se occorra interpretare l’art. 17 della direttiva nel senso che osta alla pubblicazione di dati che sono stati rilevati a scopi giornalistici e alla loro cessione a fini commerciali.
64 Tenuto conto della risposta data alla seconda questione, non occorre risolvere tale questione.
Sulle spese
65 Nei confronti delle parti nella causa principale il presente procedimento costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
Per questi motivi, la Corte (Grande Sezione) dichiara:
1) L’art. 3, n. 1, della direttiva del Parlamento europeo e del Consiglio 24 ottobre 1995, 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, deve essere interpretato nel senso che un’attività consistente nel:
– raccogliere dati sul reddito da lavoro e da capitale nonché sul patrimonio di persone fisiche da documenti pubblici delle autorità tributarie e trattarli ai fini della loro pubblicazione;
– pubblicarli in ordine alfabetico e per classi di reddito, sotto forma di elenchi particolareggiati redatti per singoli comuni;
– cederli sotto forma di CD-ROM perché siano utilizzati a fini commerciali;
– trattarli nell’ambito di un servizio di SMS che consenta agli utilizzatori di telefoni mobili, previa comunicazione del nome e della residenza di una persona, di ricevere dati sul reddito da lavoro e da capitale nonché sul patrimonio di tale persona
deve essere considerata come un trattamento di dati personali ai sensi di tale disposizione.
2) L’art. 9 della direttiva deve essere interpretato nel senso che le attività menzionate nella prima questione, sub a)-d), relative a dati provenienti da documenti che sono pubblici secondo la normativa nazionale, devono essere considerate attività di trattamento di dati personali esercitate «esclusivamente a scopi giornalistici» ai sensi di tale disposizione, qualora la loro unica finalità consista nella divulgazione al pubblico di informazioni, opinioni o idee, cosa che spetta al giudice nazionale valutare.
3) Le attività di trattamento di dati personali come quelle previste nella prima questione, sub c) e d), riguardanti archivi delle pubbliche autorità contenenti dati personali che comprendono solo informazioni già pubblicate in quanto tali nei media, rientrano nell’ambito di applicazione della direttiva 95/46.
