La sentenza del Tribunale amministrativo (VGH) di Monaco di Baviera riguarda la questione se un individuo abbia il diritto di ispezionare un contratto di elaborazione degli ordini stipulato tra una società di radiodiffusione e una società di recupero crediti ai sensi dell'art. 28 del GDPR. Il VGH ha respinto questa richiesta e ha quindi confermato la decisione del Tribunale amministrativo di Monaco.
Il querelante chiede l'accesso al contratto di elaborazione degli ordini
Il ricorrente è tenuto a pagare il canone dal 2013. Nel 2021, l'emittente ha incaricato P. GmbH come agenzia di recupero crediti di far valere i crediti insoluti. In particolare, si trattava di crediti insoluti relativi al canone di licenza per il periodo da aprile 2014 a giugno 2015 per un importo di 264,32 euro. Nell'agosto 2021, il ricorrente ha chiesto al convenuto un'informazione ai sensi dell'articolo 11 (8) RBStV, che è stata emessa nel settembre 2021. In questa informativa è stata indicata anche una società di recupero crediti come possibile destinataria dei dati.
Il 29 settembre 2021, la P. GmbH ha informato per iscritto il ricorrente di agire in qualità di incaricato del trattamento ai sensi dell'art. 28 GDPR e ha spiegato il suo ruolo a tale riguardo. Successivamente, il 7 ottobre 2021, l'attore ha richiesto alla convenuta l'accesso al contratto di trattamento dei dati stipulato tra l'emittente e la P. GmbH ai sensi dell'art. 28 GDPR. Tale richiesta è stata respinta dalla convenuta. Il ricorrente ha quindi intentato un'azione presso il Tribunale amministrativo di Monaco di Baviera al fine di ottenere l'accesso al contratto. Il Tribunale amministrativo di Monaco ha respinto il ricorso con sentenza del 6 dicembre 2023. Anche la richiesta di appello al VGH di Monaco non è stata accolta.
Base giuridica per l'accesso da parte dell'interessato
Il ricorrente ha sostenuto di avere il diritto di prendere visione del contratto ai sensi dell'articolo 11 (8) frase 1 RBStV. Questa disposizione regola il diritto generale all'informazione sul trattamento dei dati personali in relazione al canone di licenza. Il ricorrente ha interpretato questa disposizione nel senso che include anche la divulgazione del contratto di trattamento specifico. Tuttavia, il tribunale ha chiarito che questo paragrafo garantisce solo un diritto generale alle informazioni sui destinatari e sulle categorie di dati personali. Non è possibile dedurre un diritto individuale di prendere visione del contratto specifico.
Inoltre, il ricorrente ha invocato l'art. 28 del GDPR, che stabilisce gli obblighi di responsabili e incaricati del trattamento. Il ricorrente ha sostenuto che questa disposizione non solo regola gli obblighi contrattuali, ma contiene anche implicitamente un diritto di accesso per gli interessati. Il tribunale ha respinto questa argomentazione e ha chiarito che l'articolo 28 del GDPR non prevede un diritto di accesso individuale. Piuttosto, la disposizione regola esclusivamente gli obblighi che il responsabile del trattamento e l'incaricato del trattamento devono rispettare nell'ambito della loro cooperazione.
Un'ulteriore argomentazione del ricorrente fa riferimento all'art. 15 del GDPR. Secondo questa disposizione, gli interessati hanno il diritto di essere informati sul trattamento dei loro dati personali. Il ricorrente ha cercato di interpretare questo diritto all'informazione in modo tale da includere anche la divulgazione di documenti interni come il contratto di elaborazione degli ordini. Il tribunale ha respinto anche questa argomentazione e ha chiarito che l'art. 15 del GDPR garantisce solo il diritto all'informazione sui propri dati personali, ma non prevede un diritto generale di ispezione dei documenti interni.
Irrilevanza del diritto di consultazione dei fascicoli
Il ricorrente ha tentato di fondare il suo diritto di visionare il contratto di elaborazione degli ordini su un diritto non scritto di visionare i fascicoli, che potrebbe derivare dall'art. 29 della BayVwVfG. L'art. 29 della BayVwVfG disciplina il diritto delle parti coinvolte in un procedimento amministrativo di prendere visione dei fascicoli. In base a questo principio, a una parte può essere concesso l'accesso ai fascicoli relativi al procedimento su richiesta, a condizione che possa essere dimostrato un interesse legittimo e che non vi siano interessi pubblici o privati prevalenti.
In questo contesto, il ricorrente ha sostenuto che per verificare la legittimità del contratto di trattamento dei dati stipulato tra l'emittente e P. GmbH, doveva ispezionare tale contratto. Egli ha sostenuto che, senza tale ispezione, sarebbe stato privato della possibilità di verificare personalmente se il contratto soddisfa i contenuti prescritti dall'art. 28, par. 3 del GDPR.
Tuttavia, il tribunale ha respinto questa argomentazione sulla base del fatto che il controllo della conformità al GDPR - in particolare per quanto riguarda il contenuto e l'efficacia di un accordo sul trattamento dei dati - è compito dell'autorità di controllo competente. La legge non prevede il diritto individuale dell'interessato di rivedere il contratto in modo indipendente. Inoltre, il VGH ha ritenuto che il ricorrente non avesse un interesse legittimo, come sarebbe richiesto per concedere il diritto non scritto di ispezionare i file. Secondo il tribunale, il mero desiderio di verificare la legalità di tale contratto non era sufficiente a giustificare un interesse legittimo ai sensi della normativa vigente.
Il tribunale ha fatto esplicito riferimento ai meccanismi di controllo esistenti da parte della competente autorità di vigilanza sulla protezione dei dati, che garantiscono agli interessati una sufficiente protezione giuridica. Il tentativo del ricorrente di invocare il diritto non scritto di ispezionare i file è stato quindi respinto in quanto infondato.
Responsabilità dell'autorità di controllo della protezione dei dati
Ai sensi dell'art. 51 par. 1 GDPR e dell'art. 21 par. 1 frase 2 BayRG, il responsabile della protezione dei dati delle emittenti radiotelevisive è responsabile del controllo della conformità alla protezione dei dati delle emittenti. Il responsabile agisce in qualità di autorità di controllo indipendente con il compito di monitorare la conformità al Regolamento generale sulla protezione dei dati e di far rispettare la sua applicazione.
Il responsabile della protezione dei dati di Broadcasting è autorizzato ad agire nell'ambito di un reclamo ai sensi dell'art. 77 del GDPR. La possibilità di presentare un reclamo offre agli interessati l'opportunità di avviare una verifica formale in caso di sospetta violazione della protezione dei dati. In questo caso, il VGH di Monaco ha sottolineato che gli interessati che nutrono dubbi sulla legittimità del trattamento dei loro dati personali dovrebbero innanzitutto avvalersi di questa possibilità di presentare un reclamo.
Il tribunale ha chiarito che l'autorità di controllo è esplicitamente responsabile della verifica della conformità all'art. 28 del GDPR, in particolare per quanto riguarda gli obblighi stabiliti negli accordi di trattamento dei dati. I privati non possono effettuare questa verifica in modo indipendente, ispezionando direttamente l'accordo di trattamento dei dati. Questa chiara regolamentazione delle responsabilità sottolinea il carattere del GDPR come strumento di protezione completo e coerente che assegna l'applicazione e il monitoraggio dei requisiti di protezione dei dati alle autorità in particolare.
Nessun diritto di ispezione dei contratti di elaborazione degli ordini dal GDPR
Nel complesso, il tribunale è giunto alla conclusione che né il Trattato interstatale sui contributi alla radiodiffusione né il Regolamento generale sulla protezione dei dati concedono un diritto individuale di ispezione dei contratti di elaborazione degli ordini. La richiesta del ricorrente si è quindi rivelata infondata.
Il tribunale ha rifiutato di accogliere l'appello per mancanza di seri dubbi sulla correttezza della sentenza del tribunale inferiore. Inoltre, ha ritenuto che il caso non fosse di importanza fondamentale e che non vi fossero vizi procedurali.
Suggerimento di lettura: Tribunale fiscale federale - Lo "sforzo sproporzionato" non è un motivo per rifiutare una richiesta di informazioni
Implicazioni per la pratica
La sentenza chiarisce che il Regolamento generale sulla protezione dei dati non prevede un obbligo di trasparenza per quanto riguarda la divulgazione dei contratti di trattamento dei dati alle persone. In pratica, le persone interessate che nutrono dubbi sulla legittimità del trattamento dei dati vengono pertanto indirizzate all'autorità di controllo competente.
Questo significa per i responsabili della protezione dei dati e della conformità:
- La struttura dei contratti di elaborazione degli ordini deve essere esattamente conforme ai requisiti dell'art. 28 del GDPR. Tuttavia, gli interessati non hanno il diritto di prendere visione di tali contratti.
- Gli interessati devono essere informati dei loro diritti di informazione ai sensi dell'art. 15 del GDPR.
- È consigliabile comunicare chiaramente il contatto con l'autorità di controllo della protezione dei dati responsabile, al fine di garantire trasparenza e certezza giuridica.
La sentenza conferma la giurisprudenza consolidata sul ruolo dell'autorità di controllo della protezione dei dati e allo stesso tempo chiarisce i limiti dei diritti individuali nella revisione degli accordi sul trattamento dei dati.
Fonte: Decisione del Tribunale amministrativo bavarese del 21 febbraio 2025 - 7 ZB 24.651
Avete ancora domande sulla gestione delle richieste di informazioni? I nostri esperti vi supporteranno con soluzioni personalizzate. Mettetevi in contatto con noi:
☎️ +49 (228) 926165-100
📧 verona@2b-advice.com
Italian 
German 
English 
French