La firma autografa sotto la lente del GDPR
La firma autografa è un dato personale: a stabilirlo è la sentenza della Corte di Giustizia dell’UE (CGUE) del 4 ottobre 2024 (Causa C-200/23). La sentenza nasce da alcuni quesiti posti dalla Corte Amministrativa Suprema Bulgara in merito all’applicazione del GDPR (Regolamento per la protezione dei dati personali) e della normativa sul Registro delle Aziende.
Prima di addentrarci nel merito della sentenza della CGUE cerchiamo di capire cosa si intende per firma autografa e cos’è un dato personale.
Significato di firma autografa
La firma autografa è quella che scriviamo a mano su un documento cartaceo. È unica per ogni persona e si basa sulla nostra grafia, ovvero sul modo personale in cui scriviamo le lettere. Quando firmiamo un documento lasciamo una traccia tangibile della nostra identità. La firma autografa è stata a lungo considerata la prova più autentica dell’identità di una persona.
Diversa dalla firma autografa è la firma digitale, che costituisce il suo equivalente elettronico. Non si tratta di una semplice immagine della propria firma, ma di un codice crittografato che viene associato a un documento digitale.
La sentenza della Corte di Giustizia Europea riguarda la firma autografa e non quella digitale.
Per completezza ricordiamo anche la firma autografa sostituita a mezzo stampa, impiegata nella Pubblica Amministrazione unicamente su documenti cartacei provenienti da un sistema informatico. Essa consiste nella stampa del nome e cognome del soggetto firmatario e della dicitura “Firma autografa sostituita a mezzo stampa ai sensi dell’art. 3, comma 2 del D. Lgs. 39/1993“.
Dati personali: cosa prevede la normativa
Secondo l’art. 4 del GDPR si considera dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile come, ad esempio, il nome, la residenza, un numero di telefono, l’indirizzo email.
Una categoria particolare di dati personali è costituita dai dati sensibili, che comprendono informazioni su origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici (usati per identificare in modo univoco una persona fisica), dati relativi alla salute, vita sessuale o orientamento sessuale.
Il GDPR stabilisce che la pubblicazione di dati personali richiede il consenso esplicito dell’interessato, salvo alcune eccezioni, come ad esempio quando la pubblicazione è necessaria per un obbligo di legge. I dati sensibili sono soggetti a protezioni più stringenti e la loro pubblicazione è generalmente vietata, salvo specifiche eccezioni previste dalle norme giuridiche.
Firma autografa come dato personale
Cerchiamo ora di capire cosa ha stabilito la Corte di Giustizia Europea e la rilevanza della sua sentenza.
La Corte UE, con la sentenza in esame, ha stabilito che la firma autografa di una persona fisica costituisce un dato personale ai sensi dell’art. 4, comma 1, del GDPR: essa, infatti, è un elemento distintivo legato all’identità dell’intestatario. Tra l’altro, la Corte ha ricordato che la grafia è in grado di fornire informazioni aggiuntive sulla persona. Di conseguenza, la firma autografa è soggetta a tutte le restrizioni nel trattamento previste per i dati personali.
Questo implica che la pubblicazione di firme autografe nei Registri delle Imprese può avvenire solamente con il consenso esplicito dell’interessato.
Una delle questioni sollevate dalla Suprema Corte della Bulgaria riguardava la pubblicazione di documenti contenenti dati personali nel Registro delle Imprese. La normativa bulgara, infatti, prevede che, nel caso in cui i documenti presentati comprendano dati personali non richiesti dalla legge, si presume che vi sia un consenso implicito alla loro pubblicazione. In merito, la Corte ha chiarito che la presunzione prevista dalla normativa bulgara di un consenso implicito alla pubblicazione dei dati personali (tra i quali va inclusa la firma autografa) non può essere considerata equivalente a un consenso liberamente espresso, specifico, informato e inequivocabile al trattamento dei dati.
Ne consegue che i registri pubblici dei vari Stati dell’Ue non possono pubblicare tali dati senza un’esplicita autorizzazione.
Firma autografa esempio: la pubblicazione del verbale di assemblea
Prendiamo l’esempio di un’azienda che intenda pubblicare il verbale di un’assemblea dei soci sul proprio sito web. Se nel verbale sono presenti le firme autografe dei soci, l’azienda dovrà accertarsi di aver ottenuto il consenso esplicito di ciascuno di essi, specificando chiaramente le finalità del trattamento e la durata della conservazione dei dati. In assenza di tale consenso, la pubblicazione delle firme costituisce una violazione del GDPR con le relative conseguenze.
Non solo danni materiali: la violazione dei dati personali è risarcibile
Un’altra questione posta dalla Suprema Corte della Bulgaria riguardava l’eventualità di danni morali risarcibili in seguito alla pubblicazione dei dati personali nel Registro delle imprese.
La CGUE ha precisato che il danno morale derivante dalla pubblicazione non autorizzata di dati personali in un registro pubblico può essere risarcito anche in assenza di un pregiudizio economico o di una lesione di altri diritti fondamentali. È sufficiente dimostrare la violazione del diritto alla privacy, intesa come diritto di disporre dei propri dati personali.
Il parere del Garante non esonera dalla responsabilità
Il caso ha sollevato un’importante questione relativa al peso giuridico dei pareri espressi dalle autorità di controllo della privacy. Infatti, in Bulgaria l’Agenzia delle iscrizioni si rifiuta di cancellare i dati personali presenti nei contratti di costituzione delle società, proprio sulla base del parere espresso dalla Commissione per la protezione dei dati personali.
La CGUE ha chiarito che, pur svolgendo un ruolo cruciale nella vigilanza sul rispetto del GDPR, i pareri dei Garanti non sono vincolanti. Ciò significa che un’autorità pubblica, come un’agenzia per le iscrizioni, non può invocare il parere di un Garante per sottrarsi alle proprie responsabilità in caso di violazione della normativa sulla privacy.
