È necessario cancellare i dati sensibili non obbligatori dai contratti disponibili nei pubblici registri

L’articolo 21 §.2 Direttiva UE 2017/1132, relativa ad alcuni aspetti di diritto societario, deve essere interpretato nel senso che non impone ad uno Stato membro l’obbligo di consentire la pubblicità, nel registro del commercio, di un contratto di società soggetto alla pubblicità obbligatoria prevista da tale direttiva e contenente dati personali diversi dai dati personali minimi richiesti, la cui pubblicazione non è richiesta dal diritto di tale Stato membro.

Il GDPR ed in particolare l'articolo 4, punti 7 e 9 dello stesso, «deve essere interpretato nel senso che l'autorità responsabile della tenuta del registro del commercio di uno Stato membro che pubblica, in tale registro, i dati personali contenuti in un contratto di società soggetto all'obbligo di pubblicità previsto dalla direttiva 2017/1132, che le è stato trasmesso nell'ambito di una domanda di iscrizione della società in questione nel suddetto registro, è tanto «destinatario» di tali dati quanto, soprattutto nei limiti in cui li mette a disposizione del pubblico, “titolare del trattamento” di detti dati, ai sensi di tale disposizione, anche qualora tale contratto contenga dati personali non richiesti da tale direttiva o dal diritto di tale Stato membro.  La direttiva 2017/1132, in particolare il suo articolo 16 e  l'articolo 17 GDPR devono essere interpretati nel senso che ostano a una normativa o a una prassi di uno Stato membro che conduca l'autorità responsabile della tenuta del registro del commercio di tale Stato membro a respingere qualsiasi domanda di cancellazione di dati personali, non richiesti da tale direttiva o dal diritto di detto Stato membro, contenuti in un contratto di società pubblicato in detto registro, qualora non sia stata fornita a tale autorità una copia di detto contratto che ometta siffatti dati, contrariamente a quanto previsto nelle modalità procedurali stabilite dalla normativa stessa» neretto,nda . Queste sono alcune delle massime della EU C 2024 827,C-200/23 del 4 ottobre 2024. Una socia di una società chiedeva all'Agenzia responsabile delle iscrizioni nei registri sostanzialmente equivalente alla nostra Camera di Commercio di cancellare alcuni suoi dati personali dal contratto societario pubblicato nei suoi pubblici registri. Infatti, per legge, il contratto di società, con cui era fondata la srl di cui era socia, era pubblicato nei registri del commercio. Esso conteneva il cognome e il nome, il numero di identificazione, il numero della carta d'identità, la data e il luogo di emissione di quest'ultima, il suo indirizzo e la sua firma la ricorrente revocava il consenso alla loro pubblicità. Dopo una lunga battaglia legale, l'Agenzia ha cancellato d'ufficio il numero di identificazione, i dati relativi alla carta d'identità e l'indirizzo, ma non gli altri. Il giudice di rinvio avendo dubbi su quali dati potessero effettivamente resi pubblici in quanto contenuti in un contratto societario soggetto a registrazione e messa a disposizione del pubblico ha sollevato una complessa pregiudiziale risolta dalla CGUE come in epigrafe. Quali dati sono pubblicabili ed accessibili? Lo scopo di questi registri del commercio o delle imprese che ogni Stato ha l'obbligo di istituire è quello di rendere accessibile al pubblico talune informazioni indicate all'articolo 14, tra cui l'atto costitutivo, lo statuto, ogni loro modifica, «la nomina, la cessazione dalle funzioni nonché le generalità delle persone che, in quanto organo previsto per legge o membri di tale organo i  hanno il potere di obbligare la società di fronte ai terzi e di rappresentarla in giudizio le misure di pubblicità precisano se le persone che hanno il potere di obbligare la società possano agire da sole o siano tenute ad agire congiuntamente ii partecipano all'amministrazione, alla vigilanza o al controllo della società». Ogni altra informazione che non è obbligatoria deve essere omessa. Ai sensi dell'articolo 16 Direttiva 2017/1132 tali atti, documenti e quanto elencato dall'articolo 14 sono soggetti a pubblicità obbligatoria e possono «essere accessibili mediante l'ottenimento di una copia integrale o parziale su richiesta e formare oggetto di una pubblicità garantita dalla pubblicazione, integrale o per estratto, ovvero sotto forma di menzione, nel bollettino nazionale, o mediante una misura di effetto equivalente». Inoltre, «le indicazioni obbligatorie da fornire nell'atto costitutivo che forma oggetto di una pubblicità comprendono le generalità delle persone fisiche o giuridiche o delle società che hanno sottoscritto o in nome delle quali è stato sottoscritto tale atto». Il diritto di accesso a tali dati può essere anche transfrontaliero, autorizzando, su base volontaria dei singoli paesi interessati hanno ampio margine discrezionale in materia , anche la traduzione in altre lingue consentite. Dall'esegesi autentica e restrittiva degli articolo 14, 16 e 21 Direttiva 2017/1132 si evince che possono essere pubblicati solo e soltanto i dati ritenuti obbligatori da queste disposizioni ed eventuali loro traduzioni su base volontaria, su tutti gli altri non vige alcun onere di pubblicità, perciò possono e devono essere omessi. Come sopra detto l'ente che tiene questi registri è sia destinatario che responsabile del trattamento di tali dati. Si noti che la pubblicazione di questi dati personali obbligatori e di quelli supplementari relativi «alle generalità di dette persone o di altre categorie di persone che gli Stati membri decidono di assoggettare alla pubblicità obbligatoria, o che, come nel caso di specie, figurano negli atti soggetti a tale pubblicità senza che la messa a disposizione di tali dati sia richiesta dalla direttiva 2017/1132 o dal diritto nazionale che attua tale direttiva» svolgono anche una funzione di garantire i diritti di informazione dei terzi e di accesso per  facilitare eventuali diritti di difesa, la trasparenza etc. Doveri dell'Authority Appurato che l'Agenzia è titolare del trattamento e l'irrilevanza che abbia omesso di oscurare i dati non necessari per qualificarla tale, è chiaro che abbia tutti i diritti e doveri riconosciuti a tale ruolo. In particolar modo il titolare deve effettuare un trattamento quando è necessario per l'esecuzione di un compito pubblico o l'esercizio di un pubblico potere come nella fattispecie. «Tale requisito di necessità non è soddisfatto quando l'obiettivo di interesse generale considerato può ragionevolmente essere raggiunto in modo altrettanto efficace mediante altri mezzi meno pregiudizievoli per i diritti fondamentali degli interessati, in particolare per i diritti al rispetto della vita privata e alla protezione dei diritti personali garantiti agli articoli 7 e 8 della Carta, atteso che le deroghe e le restrizioni al principio della protezione di simili dati devono avere luogo nei limiti dello stretto necessario». Da ciò discende che l'Agenzia, se può redigere essa stessa una copia dell'atto da cui siano espunti i dati personali non soggetti ad obbligatoria pubblicazione, non può sottrarsi a tale onere. In breve per la CGUE gli articolo 16 della Direttiva e 17 GDPR «ostano a una normativa o a una prassi di uno Stato membro che conduca l'autorità responsabile della tenuta del registro del commercio di tale Stato membro a respingere qualsiasi domanda di cancellazione di dati personali, non richiesti da tale direttiva o dal diritto di detto Stato membro, contenuti in un contratto di società pubblicato in detto registro, qualora non sia stata fornita a tale autorità una copia di detto contratto che ometta siffatti dati, contrariamente a quanto previsto nelle modalità procedurali stabilite dalla normativa stessa». Risarcimento del danno immateriale In base alla prassi recente e consolidata sull'articolo 82 GDPR che regola il risarcimento per violazione dello stesso «una perdita del controllo di durata limitata, da parte dell'interessato, sui suoi dati personali, a causa della messa a disposizione del pubblico di tali dati, online, nel registro del commercio di uno Stato membro, può essere sufficiente a cagionare un «danno immateriale», purché tale persona dimostri di aver effettivamente subìto un siffatto danno, per quanto minimo, senza che tale nozione di «danno immateriale» richieda la dimostrazione che sussistono ulteriori conseguenze negative tangibili». Orbene è pacifico che l'Agenzia quale Authority abbia poteri correttivi, ispettivi ed autorizzativi che non sono stati esercitati nella fattispecie, poiché non si è posto rimedio alcuno alla violazione della privacy della ricorrente né è stato dato seguito alla revoca dell'autorizzazione al trattamento dei dati contestati. Inoltre, l'esercizio di un potere consultivo o la richiesta di un parere al Garante della privacy, in quanto non giuridicamente vincolante, non esonera l'Agenzia, quale titolare del trattamento dei dati, dalla responsabilità per il lamentato danno immateriale. Per completezza d'informazione sempre il 4 ottobre la CGUE ha pubblicato un'altra interessante sentenza EU C 2024 854, C-507/23 sulle modalità di risarcimento di questo danno, che ha funzione compensativa e non punitiva/sanzionatoria, chiarendone alcuni aspetti e stabilendo che «la presentazione di scuse può costituire un risarcimento adeguato di un danno immateriale sul fondamento di tale disposizione articolo 82 GDPR, nda , segnatamente qualora sia impossibile ripristinare la situazione anteriore al verificarsi del danno, a condizione che detta forma di risarcimento sia tale da compensare integralmente il danno subito dall'interessato» neretto, nda .

Sentenza 1        La domanda di pronuncia pregiudiziale verte sull'interpretazione degli articoli 3 e 4 della direttiva 2009/101/CE del Parlamento europeo e del Consiglio, del 16 settembre 2009, intesa a coordinare, per renderle equivalenti, le garanzie che sono richieste, negli Stati membri, alle società a mente dell'articolo 48, secondo comma, [CE] per proteggere gli interessi dei soci e dei terzi GU 2009, L 258, pag. 11 , nonché degli articoli 4, 6, 17, 58 e 82 del regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE regolamento generale sulla protezione dei dati GU 2016, L 119, pag. 1 in prosieguo il «RGPD» . 2        Tale domanda è stata presentata nell'ambito di una controversia tra l'Agentsia po vpisvaniyata Agenzia responsabile delle iscrizioni nei registri, Bulgaria in prosieguo l'«agenzia» e OL in merito al rifiuto di tale agenzia di cancellare taluni dati personali riguardanti OL contenuti in un contratto di società pubblicato nel registro del commercio.  Contesto normativo  Diritto dell'Unione  La direttiva UE 2017/1132 3        La direttiva UE 2017/1132 del Parlamento europeo e del Consiglio, del 14 giugno 2017, relativa ad alcuni aspetti di diritto societario GU 2017, L 169, pag. 46 , ha abrogato e sostituito la direttiva 2009/101 a decorrere dalla data della sua entrata in vigore, ossia il 20 luglio 2017. 4        I considerando 1, 7, 8 e 12 della direttiva 2017/1132 enunciano quanto segue « 1       Le direttive [2009/101] e 2012/30/UE [del Parlamento europeo e del Consiglio, del 25 ottobre 2012, intesa a coordinare, per renderle equivalenti, le garanzie che sono richieste, negli Stati membri, alle società di cui all'articolo 54, secondo paragrafo, [TFUE] per tutelare gli interessi dei soci e dei terzi per quanto riguarda la costituzione della società per azioni, nonché la salvaguardia e le modificazioni del capitale sociale della stessa GU 2012, L 315, pag. 74 ,] hanno subito varie e sostanziali modifiche … . A fini di chiarezza e razionalizzazione è opportuno procedere alla loro codificazione. 7       Il coordinamento delle disposizioni nazionali concernenti la pubblicità, la validità degli obblighi delle società per azioni e delle società a responsabilità limitata e la nullità di queste ultime riveste un'importanza particolare, soprattutto in ordine alla tutela degli interessi dei terzi. 8       La pubblicità dovrebbe consentire ai terzi di conoscere gli atti essenziali della società, certe indicazioni che la concernono, in particolare le generalità delle persone che hanno il potere di obbligarla. 12       Si dovrebbe facilitare l'accesso transfrontaliero alle informazioni sulle società autorizzando, oltre alla pubblicità obbligatoria in una delle lingue consentite negli Stati membri delle società in questione, la registrazione su base volontaria, in altre lingue, degli atti e delle indicazioni richiesti. Le relative traduzioni dovrebbero far fede nei confronti dei terzi che agiscono in buona fede». 5        Contenuto nella Sezione 1, del capo II del titolo I della direttiva 2017/1132, intitolata «Costituzione della società per azioni, l'articolo 4 di tale direttiva, rubricato «Informazioni obbligatorie da fornire nello statuto o nell'atto costitutivo o in un documento separato», così dispone «Lo statuto o l'atto costitutivo o un documento separato che formi oggetto di una pubblicità eseguita secondo le modalità previste nella legislazione di ogni Stato membro in conformità dell'articolo 16 indica [almeno] i       le generalità delle persone fisiche o giuridiche o delle società che hanno sottoscritto o in nome delle quali è stato sottoscritto lo statuto o l'atto costitutivo ovvero, quando la costituzione della società non è simultanea, le generalità delle persone fisiche o giuridiche o delle società che hanno sottoscritto o in nome delle quali è stato sottoscritto il progetto di statuto o di atto costitutivo ». 6        La Sezione 1, del capo III del titolo I di tale direttiva, intitolata «Disposizioni generali», comprende gli articoli da 13 a 28. 7        L'articolo 13 della direttiva medesima, intitolato «Ambito di applicazione», dispone quanto segue «Le misure di coordinamento prescritte dalla presente sezione si applicano alle disposizioni legislative, regolamentari e amministrative degli Stati membri riguardanti i tipi di società elencati nell'allegato II». 8        L'articolo 14 della direttiva 2017/1132, intitolato «Atti e indicazioni soggetti all'obbligo di pubblicità per le società», così dispone «Gli Stati membri adottano le misure necessarie affinché l'obbligo della pubblicità per le società concerna almeno gli atti e le indicazioni seguenti a       l'atto costitutivo e lo statuto, se quest'ultimo forma oggetto di atto separato b       le modifiche degli atti di cui alla lettera a , compresa la proroga della società c       dopo ogni modifica dell'atto costitutivo o dello statuto, il testo integrale dell'atto modificato nella sua redazione aggiornata d       la nomina, la cessazione dalle funzioni nonché le generalità delle persone che, in quanto organo previsto per legge o membri di tale organo i       hanno il potere di obbligare la società di fronte ai terzi e di rappresentarla in giudizio le misure di pubblicità precisano se le persone che hanno il potere di obbligare la società possano agire da sole o siano tenute ad agire congiuntamente ii       partecipano all'amministrazione, alla vigilanza o al controllo della società ». 9        L'articolo 15, paragrafo 1, di tale direttiva, intitolato «Modifiche agli atti e alle indicazioni», prevede quanto segue «Gli Stati membri adottano le disposizioni necessarie a garantire che le modifiche agli atti e alle indicazioni di cui all'articolo 14 siano trascritte nel registro competente di cui all'articolo 16, paragrafo 1, primo comma, e rese pubbliche, conformemente all'articolo 16, paragrafi 3 e 5, di norma entro ventuno giorni dal ricevimento della documentazione completa attinente a tali modifiche, incluso, se del caso, il controllo di legalità, secondo quanto richiesto dal diritto nazionale per l'iscrizione nel fascicolo». 10      Ai sensi dell'articolo 16 della direttiva, intitolato «Pubblicità nel registro» «1.      In ciascuno Stato membro è costituito un fascicolo presso un registro centrale, presso il registro di commercio o presso il registro delle imprese “registro” per ogni società iscritta. 3.      Tutti gli atti e le indicazioni soggetti a pubblicità a norma dell'articolo 14 sono inseriti nel fascicolo o trascritti nel registro dal fascicolo deve in ogni caso risultare l'oggetto delle trascrizioni fatte nel registro. Gli Stati membri provvedono a che le società e le altre persone e uffici tenuti alla registrazione o a intervenire nella stessa possano registrare per via elettronica tutti gli atti e le indicazioni soggetti a pubblicità a norma dell'articolo 14. Inoltre, gli Stati membri possono obbligare tutte le società, ovvero talune categorie di società, a registrare per via elettronica tutto o parte degli atti e delle indicazioni in questione. Tutti gli atti e le indicazioni di cui all'articolo 14 registrati, sia su supporto cartaceo sia per via elettronica, sono inseriti nel fascicolo o trascritti nel registro in formato elettronico. A tal fine, gli Stati membri assicurano che tutti gli atti e le indicazioni di cui trattasi che sono stati registrati su supporto cartaceo siano convertiti in formato elettronico dal registro. 4.      Una copia integrale o parziale di ogni atto o indicazione di cui all'articolo 14 deve potersi ottenere su richiesta. Le richieste possono essere presentate al registro su supporto cartaceo o per via elettronica, a scelta del richiedente. 5.      La pubblicità degli atti e delle indicazioni di cui al paragrafo 3 è garantita mediante la pubblicazione, integrale o per estratto, ovvero mediante una menzione dell'avvenuto deposito del documento nel fascicolo o dell'avvenuta trascrizione nel registro, nel bollettino nazionale designato dallo Stato membro. Il bollettino nazionale designato a tale scopo dallo Stato membro può essere costituito in formato elettronico. Gli Stati membri possono decidere di sostituire la pubblicazione nel bollettino nazionale con una misura di effetto equivalente, che comporti almeno l'utilizzo di un sistema che consenta l'accesso alle informazioni pubblicate in ordine cronologico grazie a una piattaforma elettronica centrale. 6.      Gli atti e le indicazioni sono opponibili dalla società ai terzi soltanto una volta effettuata la pubblicità di cui al paragrafo 5, a meno che la società provi che i terzi ne erano a conoscenza. 7.      Gli Stati membri adottano le misure necessarie per evitare qualsiasi discordanza fra il tenore della pubblicità effettuata a norma del paragrafo 5 e il contenuto del registro o del fascicolo. Tuttavia, in caso di discordanza, il testo oggetto di una pubblicità a norma del paragrafo 5 non può essere opposto ai terzi i terzi possono tuttavia valersene a meno che la società provi che essi erano a conoscenza del testo depositato nel fascicolo o trascritto nel registro. ». 11      L'articolo 21 della direttiva 2017/1132, intitolato «Lingua della pubblicità e traduzione degli atti e delle indicazioni soggetti a pubblicità», prevede quanto segue «1.      Gli atti e le indicazioni soggetti a pubblicità a norma dell'articolo 14 sono redatti e registrati in una delle lingue consentite dalle norme applicabili in materia nello Stato membro nel quale è stato costituito il fascicolo di cui all'articolo 16, paragrafo 1. 2.      Oltre alla pubblicità obbligatoria di cui all'articolo 16, gli Stati membri consentono che la pubblicità volontaria delle traduzioni degli atti e delle indicazioni di cui all'articolo 14 sia effettuata a norma dell'articolo 16 in qualsiasi lingua ufficiale dell'Unione [europea]. Gli Stati membri possono prescrivere che la traduzione di detti atti ed indicazioni sia autenticata. Gli Stati membri adottano le misure necessarie per agevolare l'accesso dei terzi alle traduzioni che sono state oggetto di una pubblicità su base volontaria. 3.      In aggiunta alla pubblicità obbligatoria di cui all'articolo 16 e alla pubblicità volontaria di cui al paragrafo 2 del presente articolo, gli Stati membri possono consentire che la pubblicità degli atti e delle indicazioni di cui trattasi sia garantita a norma dell'articolo 16 in qualsiasi altra lingua. 4.      In caso di discordanza fra gli atti e le indicazioni pubblicati nelle lingue ufficiali del registro e la traduzione pubblicata su base volontaria, quest'ultima non può essere opposta ai terzi ». 12      Ai sensi dell'articolo 161 di tale direttiva, intitolato «Protezione dei dati» «Il trattamento dei dati personali effettuato nel quadro della presente direttiva è disciplinato dalla direttiva 95/46/CE [del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati GU 1995, L 281, pag. 31 ]». 13      L'articolo 166 della direttiva, intitolato «Abrogazione», così recita «Le direttive [2009/101 e 2012/30] sono abrogate … . I riferimenti alle direttive abrogate si intendono fatti alla presente direttiva e si leggono secondo la tavola di concordanza di cui all'allegato IV». 14      L'allegato II della direttiva 2017/1132 elenca i tipi di società di cui all'articolo 7, paragrafo 1, all'articolo 13, all'articolo 29, paragrafo 1, all'articolo 36, paragrafo 1, all'articolo 67, paragrafo 1, e all'articolo 119, paragrafo 1, lettera a , di tale direttiva, tra cui figura, per la Bulgaria, l'OOD. 15      Conformemente alla tavola di concordanza di cui all'allegato IV della direttiva 2017/1132, da un lato, gli articoli 2, 2 bis, 3, 4 e 7 bis della direttiva 2009/101 corrispondono, rispettivamente, agli articoli 14, 15, 16, 21 e 161 della direttiva 2017/1132. Dall'altro lato, l'articolo 3 della direttiva 2012/30 corrisponde all'articolo 4 della direttiva 2017/1132.  La direttiva UE 2019/1151 16      La direttiva 2017/1132 è stata modificata, tra l'altro, dalla direttiva UE 2019/1151 del Parlamento europeo e del Consiglio, del 20 giugno 2019, che modifica la direttiva UE 2017/1132 per quanto riguarda l'uso di strumenti e processi digitali nel diritto societario GU 2019, L 186, pag. 80 , entrata in vigore il 31 luglio 2019 e che, al suo articolo 1, intitolato «Modifiche della direttiva [2017/1132]», dispone quanto segue «La direttiva [2017/1132] è così modificata 6       L'articolo 16 è sostituito dal seguente “Articolo 16 Pubblicità nel registro 1.      In ciascuno Stato membro è costituito un fascicolo presso un registro centrale, presso il registro di commercio o presso il registro delle imprese “registro” per ogni società iscritta. 2.      Tutti i documenti e le informazioni soggetti ad obbligo di pubblicità a norma dell'articolo 14 sono inseriti nel fascicolo di cui al paragrafo 1 del presente articolo o trascritti direttamente nel registro nel fascicolo risulta l'oggetto delle trascrizioni fatte nel registro. Tutti i documenti e le informazioni di cui all'articolo 14, indipendentemente dal mezzo usato per la loro presentazione, sono inseriti nel fascicolo nel registro o inseriti direttamente in formato elettronico. Gli Stati membri assicurano che tutti i documenti e le informazioni di cui trattasi che sono stati registrati su supporto cartaceo siano convertiti in formato elettronico dal registro il prima possibile. 3.      Gli Stati membri provvedono affinché la pubblicità dei documenti e delle informazioni di cui all'articolo 14 avvenga rendendoli pubblicamente accessibili nel registro. Essi possono inoltre esigere che alcuni o tutti i documenti e le informazioni siano pubblicati in un bollettino nazionale designato allo scopo o mediante mezzi di effetto equivalente. 4.      Gli Stati membri adottano le misure necessarie per evitare qualsiasi discordanza fra il contenuto del registro e il contenuto del fascicolo. Gli Stati membri che richiedono la pubblicazione di documenti e informazioni in un bollettino nazionale o su una piattaforma elettronica centrale adottano le misure necessarie per evitare discordanze tra quanto divulgato in conformità del paragrafo 3 e quanto pubblicato nel bollettino o sulla piattaforma. In caso di discordanze nel quadro del presente articolo, prevalgono i documenti e le informazioni resi disponibili nel registro. 5.      I documenti e le informazioni di cui all'articolo [14] sono opponibili dalla società ai terzi soltanto una volta effettuata la pubblicità di cui al paragrafo 3 del presente articolo, a meno che la società provi che i terzi ne erano a conoscenza. … 6.      Gli Stati membri assicurano che tutti i documenti e le informazioni presentati come parte integrante della costituzione di una società, della registrazione di una succursale o della presentazione da parte di una società o di una succursale siano conservati [nei] registri in un formato consultabile e leggibile da dispositivo automatico o come dati strutturati”. 7       è inserito l'articolo seguente “Articolo 16 bis Accesso alle informazioni pubblicate 1.      Gli Stati membri assicurano che copie di tutti i documenti e le informazioni di cui all'articolo 14 o di parti di essi possano essere ottenute dal registro su richiesta ” 19       L'articolo 161 è sostituito dal seguente “Articolo 161 Protezione dei dati Il trattamento dei dati personali effettuato nel quadro della presente direttiva è disciplinato dal [RGPD]”». 17      Ai sensi dell'articolo 2 della direttiva 2019/1151, recante il titolo «Recepimento» «1.      Gli Stati membri mettono in vigore le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi alla presente direttiva entro il 1° agosto 2021. . 2.      Fatto salvo il paragrafo 1 del presente articolo, gli Stati membri mettono in vigore le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi all'articolo 1, punto … 6 della presente direttiva, con riguardo all'articolo 16, paragrafo 6, della direttiva [2017/1132] entro il 1° agosto 2023. 3.      In deroga al paragrafo 1, gli Stati membri che incontrano particolari difficoltà nel recepimento della presente direttiva hanno il diritto di beneficiare di una proroga del periodo previsto al paragrafo 1 di massimo un anno. … … ».  Il RGPD 18      I considerando 26, 32, 40, 42, 43, 50, 85, 143 e 146 del RGPD enunciano « 26       È auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile . Per stabilire l'identificabilità di una persona è opportuno considerare tutti i mezzi, come l'individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. 32       Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. 40       Perché sia lecito, il trattamento di dati personali dovrebbe fondarsi sul consenso dell'interessato o su altra base legittima prevista per legge dal presente regolamento o dal diritto dell'Unione o degli Stati membri, come indicato nel presente regolamento, tenuto conto della necessità di ottemperare all'obbligo legale al quale il titolare del trattamento è soggetto o della necessità di esecuzione di un contratto di cui l'interessato è parte o di esecuzione di misure precontrattuali adottate su richiesta dello stesso. 42       Per i trattamenti basati sul consenso dell'interessato, il titolare del trattamento dovrebbe essere in grado di dimostrare che l'interessato ha acconsentito al trattamento. Il consenso non dovrebbe essere considerato liberamente espresso se l'interessato non è in grado di operare una scelta autenticamente libera o è nell'impossibilità di rifiutare o revocare il consenso senza subire pregiudizio. 43       Per assicurare la libertà di espressione del consenso, è opportuno che il consenso non costituisca un valido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l'interessato e il titolare del trattamento, specie quando il titolare del trattamento è un'autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica. Si presume che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso 50       Il trattamento dei dati personali per finalità diverse da quelle per le quali i dati personali sono stati inizialmente raccolti dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti. In tal caso non è richiesta alcuna base giuridica separata oltre a quella che ha consentito la raccolta dei dati personali. 85       Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d'identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata. 143       [O]gni persona fisica o giuridica dovrebbe poter proporre un ricorso giurisdizionale effettivo dinanzi alle competenti autorità giurisdizionali nazionali contro una decisione dell'autorità di controllo che produce effetti giuridici nei confronti di detta persona. Tale decisione riguarda in particolare l'esercizio di poteri di indagine, correttivi e autorizzativi da parte dell'autorità di controllo o l'archiviazione o il rigetto dei reclami. Tuttavia, tale diritto a un ricorso giurisdizionale effettivo non comprende altre misure adottate dalle autorità di controllo che non sono giuridicamente vincolanti, come pareri o consulenza forniti dall'autorità di controllo. 146       Il titolare del trattamento o il responsabile del trattamento dovrebbe essere esonerato da tale responsabilità se dimostra che l'evento dannoso non gli è in alcun modo imputabile. Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento. Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito ». 19      L'articolo 4 del RGPD, intitolato «Definizioni», prevede quanto segue «Ai fini del presente regolamento s'intende per 1       “dato personale” qualsiasi informazione riguardante una persona fisica identificata o identificabile “interessato” si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale 2       “trattamento” qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione 7       “titolare del trattamento” la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri 9       “destinatario” la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o degli Stati membri non sono considerate destinatari il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento 11       “consenso dell'interessato” qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento ». 20      L'articolo 5 del RGPD, intitolato «Principi applicabili al trattamento di dati personali», prevede quanto segue «1      I dati personali sono b       raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità “limitazione della finalità” c       adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati “minimizzazione dei dati” 2.      Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo “responsabilizzazione” ». 21      A norma dell'articolo 6 del RGPD, rubricato «Liceità del trattamento» «1.      Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni a       l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità c       il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento e       il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento 3.      La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c ed e , deve essere stabilita a       dal diritto dell'Unione o b       dal diritto dello Stato membro cui è soggetto il titolare del trattamento. La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e , è necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l'applicazione delle norme del presente regolamento, tra cui le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento le tipologie di dati oggetto del trattamento gli interessati i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell'Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all'obiettivo legittimo perseguito. ». 22      L'articolo 17 del RGPD, intitolato «Diritto alla cancellazione» “diritto all'oblio” , prevede quanto segue «1.      L'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti a       i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati b       l'interessato revoca il consenso su cui si basa il trattamento conformemente all'articolo 6, paragrafo 1, lettera a , o all'articolo 9, paragrafo 2, lettera a , e se non sussiste altro fondamento giuridico per il trattamento c       l'interessato si oppone al trattamento ai sensi dell'articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell'articolo 21, paragrafo 2 d       i dati personali sono stati trattati illecitamente 3.      I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario b       per l'adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento ». 23      L'articolo 21, paragrafo 1, del RGPD recita come segue «L'interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell'articolo 6, paragrafo 1, lettere e o f , compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l'esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell'interessato oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria». 24      L'articolo 58 del RGPD così dispone «1.      Ogni autorità di controllo ha tutti i poteri di indagine seguenti 2.      Ogni autorità di controllo ha tutti i poteri correttivi seguenti 3.      Ogni autorità di controllo ha tutti i poteri autorizzativi e consultivi seguenti b       rilasciare, di propria iniziativa o su richiesta, pareri destinati al parlamento nazionale, al governo dello Stato membro, oppure, conformemente al diritto degli Stati membri, ad altri organismi e istituzioni e al pubblico su questioni riguardanti la protezione dei dati personali 4.      L'esercizio da parte di un'autorità di controllo dei poteri attribuitile dal presente articolo è soggetto a garanzie adeguate, inclusi il ricorso giurisdizionale effettivo e il giusto processo, previste dal diritto dell'Unione e degli Stati membri conformemente alla [Carta dei diritti fondamentali dell'Unione europea in prosieguo la “Carta” ]». 5.      Ogni Stato membro dispone per legge che la sua autorità di controllo abbia il potere di intentare un'azione o di agire in sede giudiziale o, ove del caso, stragiudiziale in caso di violazione del presente regolamento per far rispettare le disposizioni dello stesso. 6.      Ogni Stato membro può prevedere per legge che la sua autorità di controllo abbia ulteriori poteri rispetto a quelli di cui ai paragrafi 1, 2 e 3. L'esercizio di tali poteri non pregiudica l'operatività effettiva del capo VII». 25      Ai sensi dell'articolo 82 del RGPD, intitolato «Diritto al risarcimento e responsabilità» «1.      Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. 2.      Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. 3.      Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l'evento dannoso non gli è in alcun modo imputabile. ». 26      L'articolo 94 del RGPD così dispone «1.      La direttiva [95/46] è abrogata a partire dal 25 maggio 2018. 2.      I riferimenti alla direttiva abrogata si intendono fatti al presente regolamento ».  Diritto bulgaro  La legge sui registri 27      L'articolo 2 dello Zakon za targovskia registar i registara na yuridicheskite litsa s nestopanska tsel legge sul registro del commercio e sul registro delle persone giuridiche senza scopo di lucro DV numero  34, del 25 aprile 2006 , nella sua versione applicabile alla controversia nel procedimento principale in prosieguo la «legge sui registri» , dispone quanto segue «1       Il registro del commercio e il registro delle persone giuridiche senza scopo di lucro sono una banca dati elettronica comune in cui figurano le circostanze iscritte per legge, nonché gli atti messi a disposizione del pubblico per legge, che riguardano i commercianti e le filiali di commercianti stranieri, le persone giuridiche senza scopo di lucro e le filiali di persone giuridiche straniere senza scopo di lucro. 2       Le circostanze e gli atti di cui al paragrafo 1 sono messi a disposizione del pubblico, eccettuate le informazioni che costituiscono dati personali ai sensi dell'articolo 4, punto 1, del [RGPD], fatte salve le informazioni che devono essere messe a disposizione del pubblico per legge». 28      L'articolo 3 di tale legge così recita «Il registro del commercio e il registro delle persone giuridiche senza scopo di lucro sono tenuti dall'[agenzia], facente capo al Ministar na pravosadieto [Ministro della Giustizia, Bulgaria]». 29      Ai sensi dell'articolo 6, paragrafo 1, di detta legge «Ogni commerciante e ogni persona giuridica senza scopo di lucro è tenuto a richiedere l'iscrizione, rispettivamente, nel registro del commercio e nel registro delle persone giuridiche senza scopo di lucro, dichiarando le circostanze per le quali è necessaria l'iscrizione e presentando i documenti da mettere a disposizione del pubblico». 30      L'articolo 11 della stessa legge è del seguente tenore «1       Il registro del commercio e il registro delle persone giuridiche senza scopo di lucro sono pubblici. Chiunque ha il diritto di accedere liberamente e gratuitamente alla banca dati costituita dai registri.   2       L'[agenzia] garantisce un accesso registrato al fascicolo del commerciante o della persona giuridica senza scopo di lucro». 31      L'articolo 13, paragrafi 1, 2, 6 e 9 della legge sui registri così recita «1       L'iscrizione, la cancellazione e la messa a disposizione del pubblico sono effettuate sulla base di un modulo di richiesta. 2       La domanda include 1.      i recapiti del richiedente … 3.      la circostanza soggetta ad iscrizione, l'iscrizione di cui si chiede la cancellazione, o l'atto che deve essere messo a disposizione del pubblico … 6       [L]a domanda è corredata dai documenti o, a seconda dei casi, dall'atto che dev'essere messo a disposizione del pubblico, conformemente ai requisiti di legge. I documenti sono presentati in originale, in copia certificata conforme dal richiedente o in copia autenticata notarile. Il richiedente produce inoltre copie certificate conformi degli atti che devono essere messi a disposizione del pubblico nel registro del commercio, nei quali siano stati omessi i dati personali diversi da quelli richiesti per legge. 9       Se la domanda o i documenti ad essa allegati riportano dati personali non richiesti per legge, si ritiene che le persone che li hanno forniti abbiano acconsentito al loro trattamento da parte dell'[agenzia] e alla loro messa a disposizione del pubblico. ».  La legge sul commercio 32      L'articolo 101, punto 3, del Targovski zakon legge sul commercio DV numero  48 del 18 giugno 1991 , nella versione applicabile alla controversia nel procedimento principale in prosieguo la «legge sul commercio» , dispone che il contratto di società debba contenere «il nome, la denominazione sociale e il codice di identificazione unico dei soci». 33      Ai sensi dell'articolo 119 della legge sul commercio «1       L'iscrizione della società nel registro del commercio richiede 1.      la presentazione del contratto di società messo a disposizione del pubblico 2       I dati di cui al punto 1 sono iscritti nel registro 4       Al fine di modificare o di completare il contratto di società iscritto nel registro del commercio, una copia di detto contratto, contenente tutte le modifiche e integrazioni, certificata conforme dall'organo che rappresenta la società, deve essere presentata per la messa a disposizione del pubblico».  Il decreto numero 1, sulla tenuta, la conservazione e l'accesso al registro del commercio e al registro delle persone giuridiche senza scopo di lucro 34      L'articolo 6 della Naredba numero  1 za vodene, sahranyavane i dostap do targovskia registar i do registara na yuridicheskite litsa s nestopanska tsel decreto numero  1 sulla tenuta, la conservazione e l'accesso al registro del commercio e al registro delle persone giuridiche senza scopo di lucro , del 14 febbraio 2007 DV numero  18 del 27 febbraio 2007 , adottato dal Ministar na pravosadieto Ministro della Giustizia , nella versione applicabile alla controversia nel procedimento principale, prevede quanto segue «L'iscrizione al registro del commercio e al registro delle persone giuridiche senza scopo di lucro, e la cancellazione da tali registri, avviene sulla base di un modulo di richiesta conformemente agli allegati [contenenti moduli specifici]. Gli atti del registro del commercio e del registro delle persone giuridiche senza scopo di lucro sono messi a disposizione del pubblico sulla base di un modulo di richiesta conformemente agli allegati [contenenti moduli specifici]».  Procedimento principale e questioni pregiudiziali 35      OL è socia della «Praven Shtit Konsulting» OOD, società a responsabilità limitata di diritto bulgaro, che è stata iscritta il 14 gennaio 2021 nel registro del commercio a seguito della presentazione di un contratto di società, datato 30 dicembre 2020 e firmato dai soci di tale società in prosieguo il «contratto di società in questione» . 36      Tale contratto, contenente il cognome e il nome, il numero di identificazione, il numero della carta d'identità, la data e il luogo di emissione di quest'ultima nonché l'indirizzo di OL e la sua firma, è stato messo a disposizione del pubblico dall'agenzia così come era stato presentato. 37      L'8 luglio 2021 OL ha chiesto all'agenzia di cancellare i suoi dati personali figuranti in tale contratto di società precisando che, se il trattamento di tali dati si basava sul suo consenso, ella lo revocava. 38      In assenza di risposta da parte dell'agenzia, OL ha adito l'Administrativen sad Dobrich Tribunale amministrativo di Dobrich, Bulgaria , che, con sentenza dell'8 dicembre 2021, ha annullato il rifiuto implicito dell'agenzia di cancellare tali dati e ha rinviato il caso all'agenzia affinché essa adottasse una nuova decisione. 39      In ottemperanza a tale sentenza, e a una sentenza analoga riguardante l'altro socio, il quale aveva proceduto nel medesimo modo, con lettera datata 26 gennaio 2022 l'agenzia ha indicato che, affinché la richiesta di cancellazione di dati personali presentata da OL potesse essere accolta, le doveva essere trasmessa una copia certificata conforme del contratto di società in questione, in cui i dati personali dei soci, ad eccezione di quelli prescritti per legge, fossero omessi. 40      Il 31 gennaio 2022 OL ha nuovamente adito l'Administrativen sad Dobrich Tribunale amministrativo di Dobrich con un ricorso diretto all'annullamento di tale lettera e alla condanna dell'agenzia al risarcimento del danno morale che detta lettera, pregiudicando i diritti conferiti dal RGPD, le avrebbe causato. 41      Il 1º febbraio 2022, prima di ricevere la notifica di tale ricorso, l'agenzia ha cancellato d'ufficio il numero di identificazione, i dati relativi alla carta d'identità e l'indirizzo di OL, ma non il suo cognome, il suo nome e la sua firma. 42      Con una sentenza del 5 maggio 2022, l'Administrativen sad Dobrich Tribunale amministrativo di Dobrich ha annullato la lettera del 26 gennaio 2022 e ha condannato l'agenzia a risarcire OL per un importo di 500 leva bulgari BGN circa EUR 255 , maggiorato degli interessi legali, a titolo di danno immateriale, ai sensi dell'articolo 82 del RGPD. Secondo tale sentenza, da un lato, detto danno consisteva in esperienze psicologiche ed emotive negative subite da OL, ossia paura e inquietudine a causa del possibile abuso, impotenza e delusione a causa dell'impossibilità di tutelare i propri dati personali. Dall'altro lato, detto danno risulterebbe da tale lettera, la quale avrebbe comportato una violazione del diritto alla cancellazione sancito all'articolo 17, paragrafo 1, del RGPD nonché un trattamento illecito dei suoi dati personali contenuti nel contratto di società in parola messo a disposizione del pubblico. 43      Il giudice del rinvio, Varhoven administrativen sad Corte suprema amministrativa, Bulgaria , è investito del ricorso per cassazione proposto dall'agenzia avverso tale sentenza. 44      Secondo tale giudice, l'agenzia sostiene di essere non solo titolare del trattamento, ma anche destinataria dei dati personali trasmessi nell'ambito della procedura di iscrizione della «Praven Shtit Konsulting». Inoltre, l'agenzia non avrebbe ricevuto alcuna copia del contratto di tale società in parola in cui fossero stati omessi i dati personali che non dovevano essere messi a disposizione del pubblico, pur avendone fatto domanda prima dell'iscrizione di tale società nel registro del commercio. Orbene, la mera mancanza di una siffatta copia non potrebbe ostare, di per sé, all'iscrizione di una società commerciale in tale registro. Ciò risulterebbe dal parere numero  01-116 20 /01.02.2021 dell'autorità di controllo nazionale, la Komisia za zashtita na lichnite danni Commissione per la protezione dei dati personali, Bulgaria , presentato ai sensi dell'articolo 58, paragrafo 3, lettera b , del RGPD, cui l'agenzia fa riferimento. Detto giudice del rinvio rileva che, secondo OL, l'agenzia, in quanto titolare del trattamento, non può far gravare su altri i suoi obblighi in relazione alla cancellazione dei dati personali, poiché, secondo una giurisprudenza nazionale, tale parere non è conforme alle disposizioni del RGPD. 45      Il giudice del rinvio aggiunge che, tenuto conto di tale giurisprudenza nazionale maggioritaria, appare necessario un chiarimento dei requisiti risultanti da tale regolamento. In particolare, detto giudice si interroga sulla ponderazione che deve essere effettuata tra, da un lato, il diritto alla protezione dei dati personali e, dall'altro, la normativa che garantisce la pubblicità e l'accesso a determinati atti delle società precisando, tra l'altro, che la sentenza del 9 marzo 2017, Manni C‑398/15, EU C 2017 197 non risolve le difficoltà ermeneutiche sollevate dalla situazione del procedimento principale. 46      Alla luce di tali circostanze, il Varhoven administrativen sad Corte suprema amministrativa ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali «1       Se l'articolo 4, paragrafo 2, della direttiva [2009/101] debba essere interpretato nel senso che esso sancisce un obbligo dello Stato membro di consentire la comunicazione di un contratto di società soggetto a registrazione ai sensi dell'articolo 119 [della legge sul commercio], qualora esso, oltre ai nomi dei soci, i quali sono soggetti a pubblicazione obbligatoria ai sensi dell'articolo 2, paragrafo 2, [della legge sui registri], contenga anche ulteriori dati personali. Nel rispondere a tale questione, occorre tenere conto del fatto che l'[agenzia] è un ente del settore pubblico nei confronti del quale, secondo una giurisprudenza costante della Corte, possono essere fatte valere le disposizioni della direttiva munite di effetti diretti sentenza del 7 settembre 2006, Vassallo, С‑180/04, EU C 2006 518, punto 26 e giurisprudenza citata . 2       In caso di risposta affermativa alla prima questione se si possa ritenere che nelle circostanze che hanno dato luogo alla controversia di cui al procedimento principale, il trattamento dei dati personali da parte dell'[agenzia] sia necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento, ai sensi dell'articolo 6, paragrafo 1, lettera e , del [RGPD]. 3       In caso di risposta affermativa alle prime due questioni se una disposizione nazionale come quella di cui all'articolo 13, paragrafo 9, [della legge sui registri], ai sensi del quale, qualora in una domanda o nei documenti che corredano tale domanda siano indicati dati personali non richiesti dalla legge, si deve considerare che le persone che li hanno messi a disposizione abbiano acconsentito al trattamento di tali dati da parte dell'[agenzia] e alla fornitura di un accesso del pubblico ai medesimi, possa essere considerata ammissibile, nonostante i considerando 32, 40, 42, 43 e 50 del [RGPD], quale chiarimento in relazione alla possibilità di una “pubblicità volontaria” anche di dati personali ai sensi dell'articolo 4, paragrafo 2, della direttiva [2009/101]. 4       Se, ai fini dell'attuazione dell'obbligo risultante dall'articolo 3, paragrafo 7, della direttiva [2009/101], ai sensi del quale gli Stati membri devono adottare le misure necessarie per evitare qualsiasi discordanza fra il tenore della pubblicità effettuata a norma [di tale articolo 3, paragrafo 5] e il contenuto del registro o del fascicolo, e per tenere conto degli interessi di terzi di conoscere gli atti essenziali della società e certe indicazioni che la concernono, menzionati al considerando 3 di tale direttiva, siano ammissibili disposizioni nazionali che prevedono una disciplina procedurale moduli di domanda, presentazione di copie di documenti in cui i dati personali sono stati occultati per l'esercizio del diritto della persona fisica, ai sensi dell'articolo 17 del [RGPD], di ottenere dal titolare del trattamento la cancellazione dei dati personali che la riguardano senza ingiustificato ritardo, qualora i dati personali dei quali viene chiesta la cancellazione siano parte di documenti oggetto di pubblicità pubblicati messi a disposizione del titolare del trattamento in forza di una disciplina procedurale analoga da un'altra persona, la quale, con tale azione, ha determinato anche la finalità del trattamento da essa avviato. 5       Se l'[agenzia] agisca, nella situazione alla base della controversia di cui al procedimento principale, solo in veste di titolare del trattamento in relazione ai dati personali, oppure se essa sia anche il destinatario dei medesimi, qualora le finalità del loro trattamento nell'ambito di documenti presentati a fini di pubblicazione siano state determinate da un altro titolare del trattamento. 6       Se la firma autografa di una persona fisica costituisca un'informazione che si riferisce ad una persona fisica identificata e rispettivamente sia ricompresa nella nozione di “dati personali” ai sensi dell'articolo 4, punto 1, del [RGPD]. 7       Se la nozione di “danno immateriale” ai sensi dell'articolo 82, paragrafo 1, del [RGPD] debba essere interpretata nel senso che il riconoscimento dell'esistenza di un danno immateriale presuppone una conseguenza sfavorevole tangibile e una lesione oggettivamente accertabile degli interessi personali oppure se sia sufficiente a tal fine la mera perdita, limitata nel tempo, del controllo sovrano dell'interessato sui propri dati a causa della pubblicazione di dati personali sul registro di commercio, priva di conseguenze tangibili o svantaggiose per l'interessato. 8       Se il parere rilasciato ai sensi dell'articolo 58, paragrafo 3, lettera b , del [RGPD], dall'autorità nazionale di controllo , [Commissione per la protezione dei dati personali] ai sensi del quale l'[agenzia] non ha la possibilità giuridica né il potere di limitare d'ufficio o su richiesta della persona interessata il trattamento di dati già pubblicati, sia ammissibile come prova ai sensi dell'articolo 82, paragrafo 3, del [RGPD] che l'evento dannoso subito dalla persona fisica non è in alcun modo imputabile all'[agenzia]».  Sulle questioni pregiudiziali  Considerazioni preliminari 47      In via preliminare, occorre rilevare che le questioni sollevate vertono sull'interpretazione sia del RGPD sia della direttiva 2009/101, che è stata codificata e sostituita dalla direttiva 2017/1132, la quale è applicabile ratione temporis ai fatti di cui al procedimento principale. Di conseguenza, occorre interpretare la domanda di pronuncia pregiudiziale come diretta all'interpretazione della direttiva 2017/1132. 48      Inoltre, come ha sottolineato l'avvocata generale nel paragrafo 15 delle sue conclusioni, poiché alcuni di questi fatti si sono svolti dopo il 1° agosto 2021, data in cui è scaduto il periodo di recepimento della direttiva 2019/1151 di cui all'articolo 2, paragrafo 1, di tale direttiva, spetta al giudice nazionale verificare se detti fatti rientrino nell'ambito di applicazione ratione temporis della direttiva 2017/1132 o della direttiva 2017/1132, come modificata dalla direttiva 2019/1151. 49      Ciò premesso, occorre rilevare che le modifiche del testo degli articoli 16 e 161 della direttiva 2017/1132 e l'aggiunta di un articolo 16 bis a tale direttiva, risultanti dalla direttiva 2019/1151, non incidono sull'analisi che la Corte è chiamata ad effettuare nella presente causa, cosicché le risposte che saranno fornite nella presente sentenza saranno in ogni caso pertinenti.  Sulla prima questione 50      Con la sua prima questione, il giudice del rinvio chiede, in sostanza, se l'articolo 21, paragrafo 2, della direttiva 2017/1132 debba essere interpretato nel senso che impone ad uno Stato membro l'obbligo di consentire la pubblicità, nel registro del commercio, di un contratto di società soggetto alla pubblicità obbligatoria prevista da tale direttiva e contenente dati personali diversi dai dati personali minimi richiesti, la cui pubblicazione non è richiesta dal diritto di tale Stato membro. 51      In particolare, tale giudice chiede lumi sulla portata della pubblicità volontaria menzionata in tale disposizione e desidera chiarire se detta disposizione imponga agli Stati membri di consentire la pubblicità di indicazioni contenute negli atti societari, quali i dati personali, che essi non hanno richiesto a titolo della pubblicità obbligatoria prevista da tale direttiva. 52      Ai sensi dell'articolo 21, paragrafo 2, primo comma, della direttiva 2017/1132, «[o]ltre alla pubblicità obbligatoria di cui all'articolo 16 [di tale direttiva], gli Stati membri consentono che la pubblicità volontaria delle traduzioni degli atti e delle indicazioni di cui all'articolo 14 [di detta direttiva] sia effettuata a norma [del suo] articolo 16 in qualsiasi lingua ufficiale dell'Unione». Il secondo comma di detto articolo 21, paragrafo 2, autorizza gli Stati membri a prescrivere che «la traduzione di detti atti ed indicazioni» sia autenticata. Infine, il terzo comma del medesimo articolo 21, paragrafo 2, riguarda le misure necessarie per agevolare l'accesso dei terzi alle «traduzioni» che sono state oggetto di pubblicità su base volontaria. 53      L'articolo 14 della direttiva 2017/1132 elenca, dal canto suo, gli atti e le indicazioni minimi che devono essere obbligatoriamente pubblicati dalle società interessate. Tali atti e indicazioni devono, conformemente all'articolo 16, paragrafi da 3 a 5, di detta direttiva, essere inseriti nel fascicolo o trascritti nel registro, essere accessibili mediante l'ottenimento di una copia integrale o parziale su richiesta e formare oggetto di una pubblicità garantita dalla pubblicazione, integrale o per estratto, ovvero sotto forma di menzione, nel bollettino nazionale, o mediante una misura di effetto equivalente. 54      A tal riguardo, tenuto conto in particolare dell'uso reiterato del termine «traduzioni» all'articolo 21, paragrafo 2, della direttiva 2017/1132, dalla formulazione di tale disposizione risulta che essa riguarda la pubblicità volontaria delle traduzioni degli atti e delle indicazioni di cui all'articolo 14 di tale direttiva in una lingua ufficiale dell'Unione e, pertanto, soltanto la lingua di pubblicazione di tali atti e indicazioni. Per contro, detta disposizione non si riferisce al contenuto di detti atti e indicazioni. 55      Pertanto, tale formulazione tende a indicare che detto articolo 21, paragrafo 2 non può essere interpretato nel senso che impone agli Stati membri un qualsivoglia obbligo relativo alla pubblicità di dati personali la cui pubblicità non è richiesta né da altre disposizioni del diritto dell'Unione né dal diritto dello Stato membro interessato, ma che figurano in un atto soggetto alla pubblicità obbligatoria prevista da detta direttiva. 56      Orbene, allorché il senso di una disposizione del diritto dell'Unione risulta senza ambiguità dalla formulazione stessa di quest'ultima, la Corte non può discostarsi da tale interpretazione sentenza del 25 gennaio 2022, VYSOČINA WIND, C‑181/20, EU C 2022 51, punto 39 . 57      In ogni caso, per quanto riguarda il contesto dell'articolo 21, paragrafo 2, della direttiva 2017/1132, il titolo di tale articolo, che si riferisce alla «[l]ingua della pubblicità e traduzione degli atti e delle indicazioni soggetti a pubblicità», al pari degli altri paragrafi di tale articolo, corrobora l'interpretazione propugnata al punto 55 della presente sentenza. 58      Infatti, l'articolo 21, paragrafo 1, della direttiva 2017/1132 dispone che «[g]li atti e le indicazioni soggetti a pubblicità a norma dell'articolo 14 [di tale direttiva] sono redatti e registrati in una delle lingue consentite» dalle norme applicabili in materia. Tale articolo 21, paragrafo 3 prevede che, in aggiunta alla pubblicità obbligatoria di cui all'articolo 16 di detta direttiva e alla pubblicità volontaria prevista da detto articolo 21, paragrafo 2, gli Stati membri possono consentire la pubblicità degli atti e delle indicazioni in questione «in qualsiasi altra lingua». Quanto a tale articolo 21, paragrafo 4, esso si riferisce alla «traduzione pubblicata su base volontaria». 59      Infine, l'interpretazione accolta al punto 55 della presente sentenza è confermata dal considerando 12 della direttiva medesima, secondo il quale occorre facilitare l'accesso transfrontaliero alle informazioni sulle società autorizzando, oltre alla pubblicità obbligatoria in una delle lingue consentite negli Stati membri delle società in questione, la registrazione su base volontaria, in altre lingue, degli atti e delle indicazioni richiesti. 60      Alla luce di quanto precede, occorre rispondere alla prima questione dichiarando che l'articolo 21, paragrafo 2, della direttiva 2017/1132 deve essere interpretato nel senso che esso non impone ad uno Stato membro l'obbligo di consentire la pubblicità, nel registro del commercio, di un contratto di società soggetto alla pubblicità obbligatoria prevista da tale direttiva e contenente dati personali diversi dai dati personali minimi richiesti, la cui pubblicazione non è richiesta dal diritto di tale Stato membro.  Sulla seconda e sulla terza questione 61      Alla luce della risposta fornita alla prima questione, non occorre rispondere alla seconda e alla terza questione, che sono poste solo per l'ipotesi di una risposta affermativa a tale prima questione.  Sulla quinta questione 62      Con la sua quinta questione, che occorre trattare prima della quarta questione, il giudice del rinvio chiede, in sostanza, se il RGPD, in particolare il suo articolo 4, punti 7 e 9, debba essere interpretato nel senso che l'autorità responsabile della tenuta del registro di commercio di uno Stato membro che pubblica, in tale registro, i dati personali contenuti in un contratto di società, soggetti a pubblicità obbligatoria ex direttiva 2017/1132, che gli è stato trasmesso nel contesto di una domanda di iscrizione della società in questione a detto registro, sia tanto «destinatario» di tali dati quanto «titolare del trattamento» di detti dati, ai sensi di tale disposizione. 63      Anzitutto, occorre ricordare che, conformemente all'articolo 161 della direttiva 2017/1132, il trattamento dei dati personali effettuato nel quadro di tale direttiva è soggetto alla direttiva 95/46 e, pertanto, al RGPD, il cui articolo 94, paragrafo 2, precisa che i riferimenti a quest'ultima direttiva si intendono fatti a tale regolamento. 64      A tal riguardo, occorre anzitutto rilevare che, in forza dell'articolo 14, lettere a , b e d , della direttiva 2017/1132, gli Stati membri devono adottare le misure necessarie affinché l'obbligo della pubblicità per le società concerna almeno l'atto costitutivo della società in questione, le sue modifiche e la nomina, la cessazione dalle funzioni, nonché le generalità delle persone che, in quanto organo previsto dalla legge, o membri di tale organo, hanno il potere di impegnare la società di fronte ai terzi e di rappresentarla in giudizio o partecipano all'amministrazione, alla vigilanza o al controllo di tale società. Inoltre, in forza dell'articolo 4, lettera i , di detta direttiva, le indicazioni obbligatorie da fornire nell'atto costitutivo che forma oggetto di una pubblicità comprendono le generalità delle persone fisiche o giuridiche o delle società che hanno sottoscritto o in nome delle quali è stato sottoscritto tale atto. 65      In applicazione dell'articolo 16, paragrafi da 3 a 5, di detta direttiva, come indicato al punto 53 della presente sentenza, tali atti e indicazioni devono essere inseriti nel fascicolo o trascritti nel registro, essere accessibili mediante l'ottenimento di una copia integrale o parziale su richiesta e formare oggetto di una pubblicità garantita tramite la pubblicazione, integrale o per estratto, mediante menzione nel bollettino nazionale, o mediante una misura di effetto equivalente. 66      Come ha sottolineato l'avvocata generale nel paragrafo 26 delle sue conclusioni, spetta quindi agli Stati membri determinare, in particolare, quali categorie di informazioni relative alle generalità delle persone di cui all'articolo 4, lettera i , e all'articolo 14, lettera d , della direttiva 2017/1132 e, in particolare, quali tipi di dati personali, sono soggetti a pubblicità obbligatoria, nel rispetto del diritto dell'Unione. 67      Orbene, le indicazioni relative alle generalità di tali persone, in quanto informazioni relative a persone fisiche identificate o identificabili, costituiscono «dati personali» ai sensi dell'articolo 4, paragrafo 1, del RGPD v., in tal senso, sentenza del 9 marzo 2017, Manni, C‑398/15, EU C 2017 197, punto 34 . 68      Lo stesso vale per le indicazioni supplementari relative alle generalità di dette persone o di altre categorie di persone che gli Stati membri decidono di assoggettare alla pubblicità obbligatoria, o che, come nel caso di specie, figurano negli atti soggetti a tale pubblicità senza che la messa a disposizione di tali dati sia richiesta dalla direttiva 2017/1132 o dal diritto nazionale che attua tale direttiva. 69      Quanto poi alla nozione di «destinatario» nell'accezione dell'articolo 4, punto 9, del RGPD, essa designa «la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi». Tale disposizione precisa che sono escluse da detta definizione le autorità pubbliche che ricevono comunicazione di siffatti dati nell'ambito di una specifica indagine conformemente al diritto dell'Unione o degli Stati membri. 70      Orbene, ricevendo, nell'ambito della domanda di iscrizione di una società nel registro di commercio di uno Stato membro, comunicazione degli atti soggetti alla pubblicità obbligatoria di cui all'articolo 14 della direttiva 2017/1132 contenenti dati personali, indipendentemente dal fatto che siano richiesti o meno da tale direttiva o dal diritto nazionale, l'autorità responsabile della tenuta di tale registro riveste la qualifica di «destinatario» di tali dati ai sensi dell'articolo 4, punto 9 del RGPD. 71      Infine, ai sensi dell'articolo 4, punto 7, del RGPD, la nozione di «titolare del trattamento» comprende la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento. Tale disposizione enuncia altresì che, quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri. 72      Al riguardo, occorre ricordare che, secondo la giurisprudenza della Corte, tale disposizione mira ad assicurare, mediante un'ampia definizione della nozione di «titolare del trattamento», una tutela efficace e completa delle persone interessate [sentenza dell'11 gennaio 2024, État belge Dati trattati da una Gazzetta ufficiale , C‑231/22, EU C 2024 7, punto 28 e giurisprudenza ivi citata]. 73      Tenuto conto della formulazione dell'articolo 4, punto 7, del RGPD, letto alla luce di tale obiettivo, risulta che, per determinare se una persona o un'entità debba essere qualificata come «titolare del trattamento» ai sensi di detta disposizione, occorre verificare se tale persona o entità determini, singolarmente o insieme ad altri, le finalità e i mezzi del trattamento oppure se essi siano determinati dal diritto dell'Unione o dal diritto nazionale. Qualora siffatta determinazione sia effettuata dal diritto nazionale, occorre allora verificare se tale diritto designi il titolare del trattamento o se preveda i criteri specifici applicabili alla sua designazione [v., in questo senso, sentenza dell'11 gennaio 2024, État belge Dati trattati da una Gazzetta ufficiale , C‑231/22, EU C 2024 7, punto 29]. 74      Occorre inoltre precisare che, alla luce dell'ampia definizione della nozione di «titolare del trattamento», ai sensi dell'articolo 4, punto 7, del RGPD, la determinazione delle finalità e dei mezzi del trattamento e, se del caso, la designazione di tale titolare da parte del diritto nazionale possono essere non solo esplicite, ma anche implicite. In quest'ultima ipotesi, è tuttavia richiesto che tale determinazione derivi in maniera sufficientemente certa dal ruolo, dalla funzione e dalle attribuzioni devoluti alla persona o all'entità interessata [sentenza dell'11 gennaio 2024, État belge Dati trattati da una Gazzetta ufficiale , C‑231/22, EU C 2024 7, punto 30]. 75      Peraltro, nel trascrivere e conservare dati personali ricevuti nel contesto di una domanda di iscrizione di una società nel registro del commercio di uno Stato membro, nel comunicarli, se del caso, a terzi su richiesta, e nel pubblicarli in un bollettino nazionale o mediante altra misura di effetto equivalente, l'autorità responsabile della tenuta del registro effettua trattamenti di dati personali, per i quali essa è «titolare del trattamento» ai sensi dell'articolo 4, punti 2 e 7, del RGPD v., in tal senso, sentenza del 9 marzo 2017, Manni, C‑398/15, EU C 2017 197, punto 35 . 76      Infatti, tali trattamenti di dati personali sono distinti e successivi alla comunicazione dei dati personali effettuata dal richiedente tale iscrizione e ricevuta da detta autorità. Inoltre, quest'ultima procede da sola a detti trattamenti, conformemente alle finalità e alle modalità fissate dalla direttiva 2017/1132 e dalla normativa dello Stato membro interessato che attua tale direttiva. 77      A tal riguardo, occorre precisare che dai considerando 7 e 8 di tale direttiva risulta che la pubblicità prevista da quest'ultima mira a tutelare in particolare gli interessi dei terzi nei confronti delle società per azioni e delle società a responsabilità limitata, dal momento che esse offrono come garanzia nei confronti dei terzi soltanto il loro patrimonio sociale. A tal fine, questa pubblicità deve consentire ai terzi di conoscere gli atti essenziali della società interessata e certe indicazioni che la concernono, in particolare le generalità delle persone che hanno il potere di impegnarla. 78      Inoltre, lo scopo della medesima direttiva è quello di fornire una garanzia giuridica per le relazioni tra la società ed i terzi, in previsione di un incremento degli scambi commerciali fra gli Stati membri in seguito all'istituzione del mercato interno. In tale prospettiva, è indispensabile che chiunque intenda intrattenere rapporti d'affari con società aventi la propria sede in altri Stati membri possa conoscere agevolmente i dati costituitivi essenziali delle società commerciali e i dati essenziali relativi ai poteri dei loro rappresentanti, il che richiede che tutti i dati pertinenti figurino, in maniera esplicita, nel registro v., in tal senso, sentenza del 9 marzo 2017, Manni, C‑398/15, EU C 2017 197, punto 50 . 79      Ebbene, come ha osservato l'avvocata generale nel paragrafo 39 delle sue conclusioni, trasmettendo all'autorità responsabile della tenuta del registro del commercio di uno Stato membro gli atti e le indicazioni soggetti alla pubblicità obbligatoria prevista dalla direttiva 2017/1132 e trattando quindi i dati personali contenuti in tali documenti, il richiedente l'iscrizione di una società in tale registro non esercita alcuna influenza sulla determinazione delle finalità e del successivo trattamento effettuati da tale autorità. Inoltre, esso persegue finalità diverse e ad esso proprie, vale a dire adempiere le formalità necessarie a tale iscrizione. 80      Nel caso di specie, come ha sottolineato l'avvocata generale nei paragrafi 31 e 32 delle sue conclusioni, risulta dalla domanda di pronuncia pregiudiziale che la messa a disposizione del pubblico dei dati personali di OL è avvenuta nell'esercizio dei poteri conferiti all'agenzia in quanto autorità responsabile della tenuta del registro del commercio e che le finalità e i mezzi del trattamento di tali dati sono stabiliti sia dal diritto dell'Unione che dalla legislazione nazionale in questione nel procedimento principale, in particolare dall'articolo 13, paragrafo 9, della legge sui registri. Pertanto, il fatto che non sia stata trasmessa una copia certificata conforme del contratto di società in questione che ometta i dati personali non richiesti da tale normativa, contrariamente a quanto disposto dalle modalità procedurali previste da detta normativa, non incide sulla qualificazione dell'agenzia come «titolare di tale trattamento». 81      Tale qualificazione non è rimessa in discussione neppure dal fatto che l'agenzia non controlli, in forza della citata normativa, prima della loro messa in rete, i dati personali contenuti nelle immagini elettroniche o negli originali dei documenti che le sono trasmessi ai fini dell'iscrizione di una società. A questo proposito, la Corte ha già statuito che sarebbe contrario all'obiettivo dell'articolo 4, punto 7, del RGPD, menzionato al punto 72 della presente sentenza, escludere dalla nozione di «titolare del trattamento» la Gazzetta ufficiale di uno Stato membro per il motivo che quest'ultima non esercita un controllo sui dati personali che figurano nelle sue pubblicazioni [sentenza dell'11 gennaio 2024, État belge Dati trattati da una Gazzetta ufficiale , C‑231/22, EU C 2024 7, punto 38]. 82      In tali circostanze risulta che, in una situazione come quella di cui al procedimento principale, l'agenzia è titolare del trattamento dei dati personali di OL, consistente nella messa a disposizione del pubblico, online, di tali dati, anche se, in forza della normativa nazionale di cui trattasi nel procedimento principale, avrebbe dovuto esserle trasmessa una copia del contratto di società in esame che omettesse i dati personali non richiesti da tale normativa, circostanza che spetta al giudice del rinvio verificare. Pertanto, l'agenzia è altresì responsabile, in forza dell'articolo 5, paragrafo 2, del RGPD, del rispetto del paragrafo 1 di tale articolo. 83      Alla luce di quanto sopra, occorre rispondere alla quinta questione dichiarando che il RGPD, in particolare l'articolo 4, punti 7 e 9, dello stesso, deve essere interpretato nel senso che l'autorità responsabile della tenuta del registro del commercio di uno Stato membro che pubblica, in tale registro, i dati personali contenuti in un contratto di società soggetto all'obbligo di pubblicità previsto dalla direttiva 2017/1132, che le è stato trasmesso nell'ambito di una domanda di iscrizione della società in questione nel suddetto registro, è tanto «destinatario» di tali dati quanto, soprattutto nei limiti in cui li mette a disposizione del pubblico, «titolare del trattamento» di detti dati, ai sensi di tale disposizione, anche qualora tale contratto contenga dati personali non richiesti da tale direttiva o dal diritto di tale Stato membro.  Sulla quarta questione  Sulla ricevibilità 84      Il governo bulgaro sostiene che la quarta questione è irricevibile in quanto solleva un problema di natura ipotetica. Infatti, secondo tale governo, detta questione verterebbe sulla compatibilità, con l'articolo 16 della direttiva 2017/1132, di una normativa nazionale relativa alle modalità procedurali per l'esercizio del diritto ex articolo 17 del RGPD, che non è ancora stata adottata. 85      Secondo costante giurisprudenza, il procedimento di rinvio pregiudiziale previsto all'articolo 267 TFUE istituisce una stretta collaborazione, basata sulla ripartizione dei compiti, tra i giudici nazionali e la Corte, e costituisce uno strumento per mezzo del quale la Corte fornisce ai giudici nazionali gli elementi di interpretazione del diritto dell'Unione di cui essi necessitano per la soluzione delle controversie che sono chiamati a dirimere. Nell'ambito di tale cooperazione, spetta esclusivamente al giudice nazionale, cui è stata sottoposta la controversia e che deve assumersi la responsabilità dell'emananda decisione giurisdizionale, valutare, alla luce delle particolari circostanze di ciascuna causa, sia la necessità di una pronuncia pregiudiziale per essere in grado di emettere la propria sentenza, sia la rilevanza delle questioni che sottopone alla Corte. Di conseguenza, allorché le questioni sollevate riguardano l'interpretazione del diritto dell'Unione, la Corte, in via di principio, è tenuta a statuire [sentenza del 23 novembre 2021, IS Illegittimità dell'ordinanza di rinvio , C‑564/19, EU C 2021 949, punti 59 e 60, nonché giurisprudenza ivi citata]. 86      Ne consegue che le questioni vertenti sul diritto dell'Unione sono assistite da una presunzione di rilevanza. Il diniego della Corte di statuire su una questione pregiudiziale posta da un giudice nazionale è possibile solo quando appaia in modo manifesto che l'interpretazione del diritto dell'Unione richiesta non ha alcuna relazione con la realtà effettiva o con l'oggetto del procedimento principale, qualora il problema sia di natura ipotetica oppure, ancora, qualora la Corte non disponga degli elementi di fatto o di diritto necessari per fornire una risposta utile alle questioni che le vengono sottoposte [sentenza del 24 novembre 2020, Openbaar Ministerie Falso in atti , C‑510/19, EU C 2020 953, punto 26 e giurisprudenza ivi citata]. 87      Nel caso di specie, dalla domanda di pronuncia pregiudiziale risulta che il giudice del rinvio è chiamato a pronunciarsi, in ultima istanza, sulla legittimità del rifiuto dell'agenzia opposto alla domanda di cancellazione di dati personali di cui trattasi nel procedimento principale, per il motivo che non era stata fornita all'agenzia una copia del contratto di società in questione che omettesse i dati personali non richiesti dalla normativa bulgara, contrariamente a quanto previsto dalle modalità procedurali stabilite da tale normativa. Inoltre, da questa domanda risulta che un siffatto rifiuto corrisponde alla prassi dell'agenzia. Infine, tale giudice ha precisato che una risposta della Corte alla quarta questione era necessaria per dirimere la controversia principale, in un contesto in cui la giurisprudenza nazionale non è uniforme. 88      Ne consegue che, contrariamente a quanto sostiene il governo bulgaro, la quarta questione è ricevibile.  Nel merito 89      Tenuto conto delle indicazioni contenute nella domanda di pronuncia pregiudiziale, quali esposte al punto 87 della presente sentenza, occorre considerare che, con la sua quarta questione, il giudice del rinvio chiede, in sostanza, se la direttiva 2017/1132, in particolare l'articolo 16 di quest'ultima, nonché l'articolo 17 del RGPD debbano essere interpretati nel senso che ostano a una normativa o a una prassi di uno Stato membro che conduca l'autorità responsabile della tenuta del registro del commercio di tale Stato membro a respingere qualsiasi domanda di cancellazione di dati personali, non richiesti da tale direttiva o dal diritto di detto Stato membro, contenuti in un contratto di società pubblicato in detto registro, qualora non sia stata fornita a detta autorità una copia di tale contratto che ometta tali dati, contrariamente a quanto previsto nelle modalità procedurali stabilite da tale normativa. 90      Conformemente all'articolo 17, paragrafo 1, del RGPD, l'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi di cui a tale disposizione. 91      Ciò si verifica, secondo tale articolo 17, paragrafo 1, lettera c , qualora l'interessato si opponga al trattamento ai sensi dell'articolo 21, paragrafo 1, di tale regolamento e non sussista alcun «motivo legittimo prevalente per procedere al trattamento», oppure, ai sensi di tale articolo 17, paragrafo 1, lettera d , qualora i dati in questione siano stati «trattati illecitamente». 92      Dall'articolo 17, paragrafo 3, lettera b , del RGPD risulta altresì che tale articolo 17, paragrafo 1 non si applica nella misura in cui tale trattamento sia necessario per l'adempimento di un obbligo giuridico che richieda il trattamento previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento. 93      Pertanto, al fine di stabilire se, in una situazione come quella di cui al procedimento principale, l'interessato disponga di un diritto alla cancellazione ai sensi dell'articolo 17 del RGPD, occorre, in prima battuta, esaminare il motivo o i motivi di liceità in cui può rientrare il trattamento dei suoi dati personali. 94      A tal riguardo, occorre ricordare che l'articolo 6, paragrafo 1, primo comma, del RGPD prevede un elenco esaustivo e tassativo dei casi in cui un trattamento di dati personali può essere considerato lecito. Pertanto, per poter essere considerato lecito, un trattamento deve rientrare in uno dei casi previsti da tale disposizione [v., in questo senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima Punti di penalità , C‑439/19, EU C 2021 504, punto 99 e giurisprudenza ivi citata]. 95      In mancanza di un siffatto consenso da parte della persona oggetto del trattamento di suoi dati personali in forza di tale articolo 6, paragrafo 1, primo comma, lettera a , o qualora tale consenso non sia stato espresso in modo libero, specifico, informato e inequivocabile ai sensi dell'articolo 4, punto 11, del RGPD, un trattamento di questo tipo è nondimeno giustificato qualora soddisfi uno dei requisiti di necessità menzionati all'articolo 6, paragrafo 1, primo comma, lettere da b ad f , di detto regolamento [v., in questo senso, sentenza del 4 luglio 2023, Meta Platforms e a. Condizioni generali di utilizzo di un social network , C‑252/21, EU C 2023 537, punto 92]. 96      In tale contesto, nella misura in cui consentono di rendere lecito un trattamento di dati personali effettuato in assenza del consenso dell'interessato, le giustificazioni previste da quest'ultima disposizione devono essere interpretate restrittivamente [sentenza del 4 luglio 2023, Meta Platforms e a. Condizioni generali di utilizzo di un social network , C‑252/21, EU C 2023 537, punto 93 e giurisprudenza ivi citata]. 97      Occorre altresì precisare che, conformemente all'articolo 5 del RGPD, è al titolare del trattamento che incombe l'onere di dimostrare che tali dati sono segnatamente raccolti per finalità determinate, esplicite e legittime, che essi sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati e che essi sono trattati in modo lecito, corretto e trasparente nei confronti dell'interessato [v., in questo senso, sentenza del 4 luglio 2023, Meta Platforms e a. Condizioni generali di utilizzo di un social network , C‑252/21, EU C 2023 537, punto 95]. 98      Anche se spetta al giudice del rinvio stabilire se i diversi elementi di un trattamento come quello del procedimento principale siano giustificati da una delle necessità di cui all'articolo 6, paragrafo 1, primo comma, lettere da a a f , del RGPD, la Corte può nondimeno fornirgli indicazioni utili al fine di consentirgli di dirimere la controversia di cui è investito [v., in questo senso, sentenza del 4 luglio 2023, Meta Platforms e a. Condizioni generali di utilizzo di un social network , C‑252/21, EU C 2023 537, punto 96]. 99      Nel caso in questione, innanzitutto, come ha sottolineato l'avvocata generale al paragrafo 43 delle sue conclusioni, la presunzione di consenso stabilita all'articolo 13, paragrafo 9, della legge sui registri non risulta soddisfare le condizioni richieste dall'articolo 6, paragrafo 1, primo comma, lettera a , del RGPD, letto in combinato disposto con l'articolo 4, punto 11, di tale regolamento. 100    Infatti, come risulta dai considerando 32, 42 e 43 di detto regolamento, il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile, ad esempio mediante dichiarazione scritta o orale, e non dovrebbe essere considerato liberamente espresso se l'interessato non è in grado di operare una scelta autenticamente libera o è nell'impossibilità di rifiutare o revocare il consenso senza subire pregiudizio. Il consenso non dovrebbe inoltre costituire un valido presupposto in un caso specifico, qualora esista un evidente squilibrio tra l'interessato e il titolare del trattamento, specie quando quest'ultimo è un'autorità pubblica. 101    Pertanto, non si può ritenere che una presunzione come quella prevista all'articolo 13, paragrafo 9, della legge sui registri dimostri un consenso espresso in modo libero, specifico, informato e inequivocabile al trattamento di dati personali effettuato da un'autorità pubblica come l'agenzia. 102    Inoltre, i motivi di liceità previsti all'articolo 6, paragrafo 1, primo comma, lettere b e d , relativi a un trattamento di dati personali necessari, rispettivamente, per l'esecuzione di un contratto e per la salvaguardia degli interessi vitali di una persona fisica, non appaiono pertinenti rispetto al trattamento dei dati personali oggetto del procedimento principale. Lo stesso vale per il motivo di liceità di cui all'articolo 6, paragrafo 1, primo comma, lettera f , relativo a un trattamento di dati personali necessario ai fini degli interessi legittimi perseguiti dal titolare del trattamento, dato che dalla formulazione di tale articolo 6, paragrafo 1, secondo comma emerge chiaramente che un trattamento di dati personali effettuato da un'autorità pubblica nell'ambito dell'esecuzione dei suoi compiti non può rientrare nell'ambito di applicazione di quest'ultimo motivo [v., in questo senso, sentenza dell'8 dicembre 2022, Inspektor v Inspektorata kam Visshia sadeben savet Finalità del trattamento di dati personali – Indagine penale , C‑180/21, EU C 2022 967, punto 85]. 103    Per quanto riguarda, infine, i motivi di liceità di cui all'articolo 6, paragrafo 1, primo comma, lettere c ed e , del RGPD, occorre ricordare che, in forza di tale articolo 6, paragrafo 1, primo comma, lettera c , un trattamento di dati personali è lecito se è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento. Inoltre, secondo detto articolo 6, paragrafo 1, primo comma, lettera e , è altresì lecito il trattamento che è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento. 104    L'articolo 6, paragrafo 3, del RGPD precisa in particolare, con riferimento a queste due ipotesi di liceità, che il trattamento deve essere basato sul diritto dell'Unione o sul diritto dello Stato membro cui è soggetto il titolare del trattamento, e che tale base giuridica deve perseguire un obiettivo di interesse pubblico ed essere proporzionata all'obiettivo legittimo perseguito. 105    Per quanto riguarda, in primo luogo, la questione se il trattamento oggetto del procedimento principale sia necessario per adempiere un obbligo legale derivante dal diritto dell'Unione o dal diritto dello Stato membro al quale è soggetto il titolare del trattamento, ai sensi dell'articolo 6, paragrafo 1, primo comma, lettera c , del RGPD, occorre notare, come fa l'avvocata generale nei paragrafi 45 e 47 delle sue conclusioni, che la direttiva 2017/1132 non impone il trattamento sistematico di ogni dato personale contenuto in un atto soggetto alla pubblicità obbligatoria prevista da tale direttiva. Al contrario, dall'articolo 161 di detta direttiva risulta che il trattamento di dati personali effettuato nel quadro della direttiva 2017/1132 e, in particolare, qualsiasi raccolta, conservazione, messa a disposizione di terzi e pubblicazione di informazioni ai sensi di tale direttiva, deve pienamente soddisfare i requisiti derivanti dall'RGPD. 106    Spetta pertanto agli Stati membri, nell'attuazione degli obblighi imposti da tale direttiva, provvedere a conciliare, da un lato, gli obiettivi di certezza del diritto e di tutela degli interessi dei terzi perseguiti dalla stessa direttiva e ricordati al punto 77 della presente sentenza, e, dall'altro, i diritti sanciti dal RGPD e il diritto fondamentale alla protezione dei dati personali, procedendo ad un contemperamento equilibrato tra tali obiettivi e tali diritti v., in tal senso, sentenza del 1º agosto 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU C 2022 601, punto 98 . 107    Pertanto, non si può ritenere che la messa a disposizione del pubblico, online, nel registro del commercio, di dati personali non richiesti dalla direttiva 2017/1132 o dalla normativa nazionale di cui trattasi nel procedimento principale, contenuti in un contratto di società soggetto alla pubblicità obbligatoria prevista da tale direttiva e trasmesso all'agenzia, sia giustificata dall'esigenza di garantire la pubblicità degli atti di cui all'articolo 14 di tale direttiva conformemente all'articolo 16 di quest'ultima e che, quindi, essa derivi da un obbligo legale previsto dal diritto dell'Unione. 108    La liceità del trattamento di cui trattasi nel procedimento non poggia neppure, con riserva di verifica da parte del giudice nazionale, su un obbligo legale ai sensi del diritto dello Stato membro cui è soggetto il titolare del trattamento ex articolo 6, paragrafo 1, primo comma, lettera c , del RGPD, nel caso di specie il diritto bulgaro, in quanto, da un lato, risulta dal fascicolo di cui dispone la Corte che l'articolo 2, paragrafo 2, della legge sui registri prevede che gli atti che devono figurare nel registro del commercio siano messi a disposizione del pubblico esenti dalle informazioni che costituiscono dati personali, «fatte salve le informazioni che devono essere messe a disposizione del pubblico per legge», e in quanto, dall'altro, l'articolo 13, paragrafo 9, di tale legge istituisce una presunzione di consenso che, come risulta dal punto 99 della presente sentenza, non soddisfa i requisiti del RGPD. 109    Per quanto riguarda, in secondo luogo, la questione di chiarire se il trattamento oggetto del procedimento principale sia necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio dei pubblici poteri di cui è investito il titolare del trattamento, ai sensi dell'articolo 6, paragrafo 1, primo comma, lettera e , del RGPD, cui fanno riferimento in particolare sia il giudice del rinvio che il governo bulgaro e l'agenzia, la Corte ha già statuito che l'attività di una autorità pubblica che consiste nel salvare, in una banca dati, dati che le società devono comunicare in base ad obblighi di legge, nel consentire ai soggetti interessati di consultare tali dati e nel fornirne loro copia, rientra nell'esercizio di pubblici poteri e costituisce un compito di interesse pubblico ai sensi di tale disposizione v., in tal senso, sentenza del 9 marzo 2017, Manni, C‑398/15, EU C 2017 197, punto 43 . 110    Ne consegue che il trattamento di cui trattasi nel procedimento principale risulta, certamente, realizzato in occasione di un compito di interesse pubblico ai sensi di detta disposizione. Tuttavia, per soddisfare le condizioni stabilite da quest'ultima disposizione, è necessario che tale trattamento risponda effettivamente agli obiettivi di interesse generale perseguiti, senza eccedere quanto necessario per conseguire tali obiettivi [v., in questo senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima Punti di penalità , C‑439/19, EU C 2021 504, punto 109]. 111    Tale requisito di necessità non è soddisfatto quando l'obiettivo di interesse generale considerato può ragionevolmente essere raggiunto in modo altrettanto efficace mediante altri mezzi meno pregiudizievoli per i diritti fondamentali degli interessati, in particolare per i diritti al rispetto della vita privata e alla protezione dei diritti personali garantiti agli articoli 7 e 8 della Carta, atteso che le deroghe e le restrizioni al principio della protezione di simili dati devono avere luogo nei limiti dello stretto necessario [v., in questo senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima Punti di penalità , C‑439/19, EU C 2021 504, punto 110 e giurisprudenza ivi citata]. 112    Orbene, come rilevato dall'avvocata generale al paragrafo 51 delle sue conclusioni, la messa a disposizione del pubblico, online, di dati personali che non sono richiesti né dalla direttiva 2017/1132 né dal diritto nazionale non può essere considerata di per sé necessaria per la realizzazione degli obiettivi perseguiti da tale direttiva. 113    In particolare, per quanto riguarda l'esistenza di mezzi meno pregiudizievoli nei confronti dei diritti fondamentali delle persone interessate, occorre rilevare che la normativa nazionale di cui trattasi nel procedimento principale prevede che il richiedente l'iscrizione di una società nel registro del commercio è tenuto a fornire una copia dell'atto di tale società da cui siano espunti i dati personali non richiesti, destinata a essere pubblicata in tale registro e accessibile ai terzi, la quale, nel caso di specie, non è mai stata fornita all'agenzia, neppure dopo una sua richiesta. Tuttavia, il governo bulgaro e l'agenzia hanno confermato che, anche trascorso un termine ragionevole e qualora la persona interessata non sia in grado di ottenere una copia siffatta dalla società interessata o dai suoi rappresentanti, tale normativa non prevede che l'agenzia possa essa stessa redigere tale copia, il che costituirebbe invece un mezzo che permetterebbe di conseguire in modo altrettanto efficace gli obiettivi di garantire la pubblicità degli atti delle società, la certezza del diritto e la tutela degli interessi dei terzi, risultando al contempo meno pregiudizievole nei confronti del diritto alla protezione dei dati personali. 114    Occorre inoltre rilevare, al pari dell'avvocata generale al paragrafo 56 delle sue conclusioni, che, contrariamente a quanto sostenuto da vari Stati membri nelle loro osservazioni dinanzi alla Corte, l'esigenza di preservare l'integrità e l'affidabilità degli atti delle società soggetti alla pubblicità obbligatoria prevista dalla direttiva 2017/1132, la quale implicherebbe la pubblicazione di detti atti tal quali essi sono stati trasmessi alle autorità responsabili della tenuta del registro del commercio, non può sistematicamente prevalere su detto diritto, salvo rendere tale protezione puramente illusoria. 115    In particolare, tale requisito non può obbligare a mantenere a disposizione del pubblico, online, in questo registro, dati personali non richiesti dalla direttiva 2017/1132 o dal diritto nazionale allorché, come risulta dal punto 113 della presente sentenza, l'agenzia potrebbe essa stessa redigere la copia dell'atto della società interessata, prevista da tale diritto, ai fini di tale messa a disposizione. 116    Ne consegue che il trattamento di dati personali di cui al procedimento principale sembra, in ogni caso, eccedere quanto necessario per l'esecuzione del compito di interesse pubblico di cui l'agenzia è investita in forza di detta normativa nazionale. 117    Di conseguenza, come osservato dall'avvocata generale al paragrafo 59 delle sue conclusioni, fatte salve le verifiche che spetta al giudice del rinvio effettuare, un siffatto trattamento non sembra neppure soddisfare le condizioni di liceità previste all'articolo 6, paragrafo 1, primo comma, lettere c , ed e , in combinato disposto con l'articolo 6, paragrafo 3, del RGPD. 118    In seconda battuta, per quanto riguarda la domanda di cancellazione ai sensi dell'articolo 17 del RGPD di cui trattasi nel procedimento principale, occorre rilevare che, nell'ipotesi in cui il giudice del rinvio dovesse concludere, al termine della sua valutazione sulla liceità del trattamento, che esso non è lecito, incomberebbe all'agenzia, in qualità di titolare del trattamento, come risulta dai punti 82 e 83 della presente sentenza, secondo la chiara formulazione dell'articolo 17, paragrafo 1, lettera d , del RGPD, cancellare i dati in questione quanto prima [v., in tal senso, sentenza del 7 dicembre 2023, SCHUFA Holding Esdebitazione , C‑26/22 e C‑64/22, EU C 2023 958, punto 108]. 119    Qualora detto giudice invece concludesse che tale trattamento risponde effettivamente al motivo di liceità previsto all'articolo 6, paragrafo 1, lettera e , del RGPD, in particolare perché mettere a disposizione del pubblico, online, nel registro del commercio, dati non richiesti dalla direttiva 2017/1132 o dalla normativa nazionale di cui trattasi nel procedimento principale era necessario per evitare di ritardare l'iscrizione della società in questione, nell'interesse della protezione dei terzi, occorre rilevare che l'articolo 17, paragrafo 1, lettera c , del RGPD troverebbe applicazione. 120    Da tale ultima disposizione, in combinato disposto con l'articolo 21, paragrafo 1, del RGPD, risulta che l'interessato dispone del diritto di opporsi al trattamento e del diritto alla cancellazione, a meno che non sussistano motivi legittimi prevalenti sugli interessi nonché sui diritti e sulle libertà di questa persona ai sensi di tale articolo 21, paragrafo 1, circostanza che spetta al titolare del trattamento dimostrare [v., in questo senso, sentenza del 7 dicembre 2023, SCHUFA Holding. Esdebitazione , C‑26/22 e C‑64/22, EU C 2023 958, punto 111]. 121    Orbene, in una situazione come quella di cui trattasi nel procedimento principale, non sembra sussistere alcun motivo legittimo prevalente ai sensi di tale disposizione che possa ostare a una siffatta domanda di cancellazione. 122    Infatti, da un lato, dalla decisione di rinvio risulta che la società di cui OL è socia è già iscritta nel registro del commercio. 123    Dall'altro lato, come rilevato al punto 115 della presente sentenza, l'esigenza di preservare l'integrità e l'affidabilità degli atti delle società soggetti alla pubblicità obbligatoria prevista dalla direttiva 2017/1132 non può costringere a mantenere a disposizione del pubblico, online, in questo registro, dati personali non richiesti dalla direttiva 2017/1132 o dal diritto nazionale. 124    Infine, anche supponendo che il giudice del rinvio giunga alla conclusione che il trattamento di dati personali oggetto del procedimento principale risponde effettivamente al motivo di liceità previsto all'articolo 6, paragrafo 1, lettera c , del RGPD, occorre rilevare che il RGPD, e in particolare il suo articolo 17, paragrafo 3, lettera b , sancisce esplicitamente l'esigenza di un bilanciamento tra, da un lato, i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, sanciti agli articoli 7 e 8 della Carta, e, dall'altro, gli obiettivi legittimamente perseguiti dal diritto dell'Unione o dal diritto degli Stati membri, che sono alla base dell'obbligo legale per il rispetto del quale il trattamento è necessario [v., per analogia, sentenza dell'8 dicembre 2022, Google Deindicizzazione di contenuti asseritamente inesatti , C‑460/20, EU C 2022 962, punto 58 e giurisprudenza ivi citata]. 125    Come la Corte ha già statuito, limitare l'accesso ai dati personali che il diritto dell'Unione assoggetta a pubblicità obbligatoria ai soli terzi che dimostrino un interesse specifico, può, caso per caso, essere giustificato, per ragioni preminenti e legittime connesse al caso concreto della persona interessata v., in tal senso, sentenza del 9 marzo 2017, Manni, C‑398/15, EU C 2017 197, punto 60 . 126    Come rilevato dall'avvocata generale al paragrafo 67 delle sue conclusioni, lo stesso dovrebbe valere a maggior ragione quando, come nel caso di specie, i dati personali in questione non sono richiesti né ai sensi della direttiva 2017/1132 né ai sensi del diritto nazionale. 127    Alla luce di tali elementi, occorre rispondere alla quarta questione dichiarando che la direttiva 2017/1132, in particolare l'articolo 16 di quest'ultima, nonché l'articolo 17 del RGPD devono essere interpretati nel senso che ostano a una normativa o a una prassi di uno Stato membro che conduca l'autorità responsabile della tenuta del registro del commercio di tale Stato membro a respingere qualsiasi domanda di cancellazione di dati personali, non richiesti da tale direttiva o dal diritto di detto Stato membro, contenuti in un contratto di società pubblicato in detto registro, qualora non sia stata fornita a tale autorità una copia di detto contratto che ometta siffatti dati, contrariamente a quanto previsto nelle modalità procedurali stabilite dalla normativa stessa.  Sulla sesta questione 128    Con la sua sesta questione, il giudice del rinvio chiede, in sostanza, se l'articolo 4, punto 1, del RGPD debba essere interpretato nel senso che la firma autografa di una persona fisica rientra nella nozione di «dati personali» ai sensi di tale disposizione. 129    Questa disposizione afferma che costituisce un dato personale «qualsiasi informazione riguardante una persona fisica identificata o identificabile» e specifica che «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale». 130    A questo proposito, la Corte ha dichiarato che l'uso dell'espressione «qualsiasi informazione» nell'ambito della definizione della nozione di «dati personali», figurante nella medesima disposizione, riflette l'obiettivo del legislatore dell'Unione di attribuire un'accezione estesa a tale nozione, che comprende potenzialmente ogni tipo di informazioni, tanto oggettive quanto soggettive, sotto forma di pareri o di valutazioni, a condizione che esse siano «concernenti» la persona interessata sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU C 2023 369, punto 23 . 131    Un'informazione riguarda una persona fisica identificata o identificabile qualora, in ragione del suo contenuto, della sua finalità o del suo effetto, essa sia connessa a una persona identificabile sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU C 2023 369, punto 24 . 132    Quanto al carattere «identificabile» di una persona fisica, il considerando 26 del RGPD precisa che occorre prendere in considerazione «tutti i mezzi, come l'individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente». 133    Di conseguenza, l'ampia definizione della nozione di «dati personali» non comprende soltanto i dati raccolti e conservati dal titolare del trattamento, ma include altresì tutte le informazioni risultanti da un trattamento di dati personali che riguardano una persona identificata o identificabile v., in questo senso, sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU C 2023 369, punto 26 . 134    Dalla giurisprudenza della Corte risulta altresì che la scrittura manoscritta di una persona fisica fornisce un'informazione concernente tale persona v., in tal senso, sentenza del 20 dicembre 2017, Nowak, C‑434/16, EU C 2017 994, punto 37 . 135    Infine, occorre rilevare che la firma autografa di una persona fisica è, in generale, utilizzata per identificare tale persona, per conferire valore probatorio, quanto alla loro esattezza e veridicità, ai documenti sui quali essa è apposta o per assumerne la responsabilità. Peraltro, risulta che, sul contratto di società in questione, la firma dei soci correda il nome di questi ultimi. 136    Alla luce di quanto precede, occorre rispondere alla sesta questione dichiarando che l'articolo 4, punto 1, del RGPD deve essere interpretato nel senso che la firma autografa di una persona fisica rientra nella nozione di «dato personale» ai sensi di tale disposizione.  Sulla settima questione 137    Con la sua settima questione, il giudice del rinvio chiede, in sostanza, se l'articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che una perdita del controllo di durata limitata, da parte dell'interessato, sui suoi dati personali, a causa della messa a disposizione del pubblico di tali dati, online, nel registro del commercio di uno Stato membro, possa essere sufficiente a causare un «danno immateriale» o se tale nozione di «danno immateriale» richieda la dimostrazione della sussistenza di ulteriori conseguenze negative tangibili. 138    In via preliminare, occorre ricordare che tale disposizione prevede che «[c]hiunque subisca un danno materiale o immateriale causato da una violazione del [RGPD] ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento». 139    A tale proposito, poiché il RGPD non opera alcun rinvio al diritto degli Stati membri per quanto riguarda il significato e la portata dei termini di cui a tale disposizione, in particolare per quanto riguarda le nozioni di «danno materiale o immateriale» e di «risarcimento del danno», tali termini devono essere considerati, ai fini dell'applicazione di detto regolamento, come nozioni autonome del diritto dell'Unione, che devono essere interpretate in modo uniforme in tutti gli Stati membri [v., in tal senso, sentenza del 4 maggio 2023, Österreichische Post Danno immateriale inerente al trattamento di dati personali , C‑300/21, EU C 2023 370, punto 30 ]. 140    A tal fine, l'articolo 82, paragrafo 1, del RGPD deve essere interpretato nel senso che la mera violazione del suddetto regolamento non è sufficiente per conferire un diritto al risarcimento, in quanto l'esistenza di un «danno», materiale o immateriale, o di un pregiudizio che sia stato «subìto», costituisce una delle condizioni del diritto al risarcimento previsto da tale articolo 82, paragrafo 1, così come l'esistenza di una violazione di detto regolamento e di un nesso di causalità tra tale danno e tale violazione, atteso che queste tre condizioni sono cumulative [sentenze del 4 maggio 2023, Österreichische Post Danno immateriale inerente al trattamento di dati personali , C‑300/21, EU C 2023 370, punto 32, e dell'11 aprile 2024, juris, C‑741/21, EU C 2024 288, punto 34]. 141    Pertanto, la persona che chiede il risarcimento di un danno o di un pregiudizio immateriale sulla base di tale disposizione è tenuta a dimostrare non solo la violazione di disposizioni del regolamento medesimo, ma anche che tale violazione le ha causato un siffatto danno o pregiudizio. Un tale danno o pregiudizio non può dunque solamente essere presunto a causa del verificarsi di detta violazione [v., in tal senso, sentenze del 4 maggio 2023, Österreichische Post Danno immateriale inerente al trattamento di dati personali , C‑300/21, EU C 2023 370, punti 42 e 50, e dell'11 aprile 2024, juris, C‑741/21, EU C 2024 288, punto 35]. 142    In particolare, una persona colpita da una violazione del RGPD che abbia cagionato conseguenze negative a suo carico è tenuta a dimostrare che tali conseguenze costituiscono un danno immateriale, ai sensi dell'articolo 82 di tale regolamento, poiché la mera violazione delle disposizioni di quest'ultimo non è sufficiente per conferire un diritto al risarcimento sentenza del 25 gennaio 2024, MediaMarktSaturn, C‑687/21, EU C 2024 72, punto 60 e giurisprudenza ivi citata . 143    Di conseguenza, qualora una persona che chiede un risarcimento sulla base di tale articolo 82, paragrafo 1, invochi il timore che in futuro si verifichi un utilizzo abusivo dei suoi dati personali a causa dell'esistenza di una siffatta violazione, il giudice nazionale adito deve verificare che tale timore possa essere considerato fondato, nelle circostanze specifiche di cui trattasi e nei confronti dell'interessato sentenza del 14 dicembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU C 2023 986, punto 85 . 144    Ciò premesso, la Corte ha già statuito che risulta non solo dal testo di tale articolo 82, paragrafo 1, del RGPD, letto alla luce dei considerando 85 e 146 di tale regolamento, i quali invitano ad interpretare in modo ampio la nozione di «danno immateriale» ai sensi di questa prima disposizione, ma anche dall'obiettivo consistente nel garantire un livello elevato di protezione delle persone fisiche con riguardo al trattamento dei dati personali, perseguito da detto regolamento, che il timore di un potenziale utilizzo abusivo dei suoi dati personali da parte di terzi che un interessato nutre a seguito di una violazione del medesimo regolamento può, già di per sé, costituire un «danno immateriale», ai sensi dello stesso articolo 82, paragrafo 1 [sentenza del 20 giugno 2024, PS Indirizzo errato , C‑590/22, EU C 2024 536, punto 32, e giurisprudenza ivi citata]. 145    In particolare, dall'elenco illustrativo dei «danni» che possono essere subiti dagli interessati, figurante al considerando 85, prima frase del RGPD, risulta che il legislatore dell'Unione ha inteso includere in tale nozione di «danni» che possano essere subiti dagli interessati, in particolare, la mera «perdita del controllo» sui loro dati personali, a seguito di una violazione di tale regolamento, quand'anche un utilizzo abusivo dei dati di cui trattasi non si sia verificato concretamente v., in tal senso, sentenza del 14 dicembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU C 2023 986, punto 82 . 146    Inoltre, un'interpretazione dell'articolo 82, paragrafo 1, del RGPD secondo la quale la nozione di «danno immateriale», ai sensi di tale disposizione, non includerebbe le situazioni in cui un interessato si avvale unicamente del suo timore che i suoi dati personali siano oggetto di un utilizzo abusivo da parte di terzi, in futuro, non sarebbe conforme alla garanzia di un livello elevato di protezione delle persone fisiche con riguardo al trattamento dei dati personali all'interno dell'Unione, cui si riferisce tale regolamento v., in questo senso, sentenza del 14 dicembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU C 2023 986, punto 83 . 147    Del pari, tale concezione non può essere circoscritta ai danni o ai pregiudizi di una certa gravità, in particolare per quanto riguarda la durata del periodo durante il quale le conseguenze negative della violazione di detto regolamento sono state subite dagli interessati v., in questo senso, sentenza del 14 dicembre 2023, Gemeinde Ummendorf, C‑456/22, EU C 2023 988, punti 16 e 19 e giurisprudenza ivi citata . 148    Pertanto, non si può ritenere che, oltre alle tre condizioni enunciate al punto 140 della presente sentenza, possano essere aggiunte altre condizioni per far sorgere la responsabilità prevista all'articolo 82, paragrafo 1, del RGPD, quali il carattere tangibile del danno o il carattere oggettivo della lesione sentenza del 14 dicembre 2023, Gemeinde Ummendorf, C‑456/22, EU C 2023 988, punto 17 . 149    Tale disposizione non richiede neppure che, a seguito di una violazione accertata di disposizioni di tale regolamento, il «danno immateriale» lamentato dall'interessato debba raggiungere una «soglia de minimis» affinché tale danno possa essere risarcito sentenza del 14 dicembre 2023, Gemeinde Ummendorf, C‑456/22, EU C 2023 988, punto 18 . 150    Di conseguenza, sebbene nulla osti a che la pubblicazione su Internet di dati personali e la conseguente perdita del controllo su questi ultimi per un breve lasso di tempo possano cagionare agli interessati un «danno immateriale», ai sensi dell'articolo 82, paragrafo 1, del RGPD, che conferisce il diritto al risarcimento, occorre inoltre che tali interessati dimostrino di aver effettivamente subìto un simile danno, per quanto minimo v., in tal senso, sentenze del 14 dicembre 2023, Gemeinde Ummendorf, C‑456/22, EU C 2023 988, punto 22, e dell'11 aprile 2024, iuris, C‑741/21, EU C 2024 288, punto 42 . 151    Infine, va precisato che, nell'ambito della determinazione dell'importo del risarcimento dovuto a titolo di un danno immateriale, un siffatto danno causato da una violazione di dati personali non è, per sua natura, meno grave di una lesione personale sentenza del 20 giugno 2024, Scalable Capital, C‑182/22 e C‑189/22, EU C 2024 531, punto 39 . 152    Inoltre, qualora una persona riesca a dimostrare che la violazione del RGPD le ha causato un danno o un pregiudizio, ai sensi dell'articolo 82 di tale regolamento, i criteri di valutazione del risarcimento dovuto nell'ambito delle azioni intese a garantire la tutela dei diritti spettanti ai singoli in forza di detto articolo devono essere stabiliti all'interno dell'ordinamento giuridico di ciascuno Stato membro, purché detto risarcimento sia pieno ed effettivo v., in questo senso, sentenza del 20 giugno 2024, Scalable Capital, C‑182/22 e C‑189/22, EU C 2024 531, punto 43 . 153    In proposito, il diritto al risarcimento previsto a tale articolo 82, paragrafo 1, segnatamente in caso di danno immateriale, svolge una funzione esclusivamente compensativa, in quanto un risarcimento pecuniario fondato su detta disposizione deve consentire di compensare integralmente il danno concretamente subito a causa della violazione di tale regolamento, e non già una funzione dissuasiva o punitiva [v., in tal senso, sentenze del 4 maggio 2023, Österreichische Post Danno immateriale inerente al trattamento di dati personali , C‑300/21, EU C 2023 370, punti 57 e 58, nonché dell'11 aprile 2024, juris, C‑741/21, EU C 2024 288, punto 61]. 154    Inoltre, da un lato, il sorgere della responsabilità del titolare del trattamento ai sensi dell'articolo 82 del RGPD è subordinato all'esistenza di un illecito commesso da quest'ultimo, la quale viene presunta, a meno che questi non dimostri che il fatto che ha provocato il danno non gli è affatto imputabile, e, dall'altro, tale articolo 82 non richiede che il grado di gravità di tale illecito sia preso in considerazione al momento della fissazione dell'importo del risarcimento di un danno morale sulla base di tale articolo sentenze del 21 dicembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU C 2023 1022, punto 103, e del 25 gennaio 2024, MediaMarktSaturn, C‑687/21, EU C 2024 72, punto 52 . 155    Nel caso di specie, come rilevato al punto 42 della presente sentenza, il giudice del rinvio ha precisato che l'Administrativen sad Dobrich Tribunale amministrativo di Dobrich aveva accertato l'esistenza di un danno morale consistente in esperienze psicologiche ed emotive negative vissute da OL, vale a dire la paura e l'inquietudine di fronte ad eventuali abusi nonché l'impotenza e la delusione quanto all'impossibilità di proteggere i propri dati personali. Esso ha altresì dichiarato che tale danno risulta dalla lettera dell'agenzia del 26 gennaio 2022, la quale avrebbe comportato una violazione del diritto alla cancellazione sancito all'articolo 17, paragrafo 1, del RGPD nonché un trattamento illecito dei suoi dati personali contenuti nel contratto di società in questione messo a disposizione del pubblico. 156    Alla luce delle considerazioni che precedono, occorre rispondere alla settima questione dichiarando che l'articolo 82, paragrafo 1, del RGPD deve essere interpretato nel senso che una perdita del controllo di durata limitata, da parte dell'interessato, sui suoi dati personali, a causa della messa a disposizione del pubblico di tali dati, online, nel registro del commercio di uno Stato membro, può essere sufficiente a cagionare un «danno immateriale», purché tale persona dimostri di aver effettivamente subìto un siffatto danno, per quanto minimo, senza che tale nozione di «danno immateriale» richieda la dimostrazione che sussistono ulteriori conseguenze negative tangibili.  Sull'ottava questione 157    Con la sua ottava questione il giudice del rinvio chiede, in sostanza, se l'articolo 82, paragrafo 3, del RGPD debba essere interpretato nel senso che un parere dell'autorità nazionale di controllo di uno Stato membro, emesso sulla base dell'articolo 58, paragrafo 3, lettera b , di tale regolamento, sia sufficiente ad esonerare dalla responsabilità, ai sensi dell'articolo 82, paragrafo 2, di detto regolamento, l'autorità responsabile della tenuta del registro del commercio di tale Stato membro avente la qualità di «titolare del trattamento» ai sensi dell'articolo 4, punto 7, del regolamento medesimo. 158    In primo luogo, per quanto riguarda il regime di responsabilità previsto all'articolo 82 del RGPD, occorre ricordare che tale articolo dispone, al suo paragrafo 1, che chiunque abbia subito un danno materiale o immateriale causato da una violazione di tale regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. Come risulta dal punto 140 della presente sentenza, tale diritto al risarcimento è soggetto al soddisfacimento di tre condizioni cumulative. 159    In conformità all'articolo 82, paragrafo 2, prima frase, di detto regolamento, un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il regolamento medesimo. Tale disposizione, che precisa il regime di responsabilità il cui principio è stabilito al paragrafo 1 di detto articolo, riprende le tre condizioni necessarie per far sorgere il diritto al risarcimento, ossia un trattamento di dati personali effettuato in violazione delle disposizioni del RGPD, un danno o un pregiudizio subito dall'interessato, e un nesso di causalità tra tale trattamento illecito e tale danno [sentenza del 4 maggio 2023, Österreichische Post Danno immateriale inerente al trattamento di dati personali , C‑300/21, EU C 2023 370, punto 36] 160    L'articolo 82, paragrafo 3, del RGPD, dal canto suo, stabilisce che un titolare del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2, se dimostra che l'evento dannoso non gli è in alcun modo imputabile. 161    Come la Corte ha già affermato, da un'analisi combinata dei paragrafi da 1 a 3 dell'articolo 82 del RGPD, del contesto in cui esso si colloca e degli obiettivi perseguiti dal legislatore dell'Unione tramite tale regolamento, emerge che questo articolo prevede un regime di responsabilità per colpa, in base al quale l'onere della prova grava non già sulla persona che ha subìto un danno, bensì sul titolare del trattamento v., in questo senso, sentenza del 21 dicembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU C 2023 1022, punti 94 e 95 . 162    In particolare, non sarebbe conforme all'obiettivo di garantire un elevato livello di protezione delle persone fisiche con riguardo al trattamento dei dati personali optare per un'interpretazione secondo la quale gli interessati che hanno subìto un danno a causa di una violazione del RGPD dovrebbero, nell'ambito di un'azione di risarcimento fondata sull'articolo 82 di quest'ultimo, sopportare l'onere di dimostrare non solo l'esistenza di tale violazione e del danno che ne è derivato per loro, ma anche l'esistenza di un illecito commesso dal titolare del trattamento deliberatamente o per negligenza, o addirittura il grado di gravità di tale colpa, sebbene detto articolo 82 non formuli tali requisiti v., in questo senso, sentenza del 21 dicembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU C 2023 1022, punto 99 . 163    Conformemente alla giurisprudenza citata al punto 154 della presente sentenza, il sorgere della responsabilità in capo al titolare del trattamento ai sensi di detto articolo 82 è così subordinato all'esistenza di un illecito commesso da quest'ultimo, la quale viene presunta, a meno che questi non dimostri che l'evento dannoso non gli è in alcun modo imputabile. 164    A tal riguardo, come rivela l'esplicita aggiunta dell'espressione «in alcun modo» nel corso del procedimento legislativo, le circostanze in cui il titolare del trattamento può pretendere di essere esonerato dalla responsabilità civile in cui incorre ai sensi dell'articolo 82 del RGPD devono essere strettamente limitate a quelle in cui tale titolare è in grado di dimostrare che il danno non gli è imputabile sentenza del 14 dicembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU C 2023 986, punto 70 . 165    La Corte ha altresì dichiarato che, in caso di violazione di dati personali commessa da un terzo, come un criminale informatico, o una persona che agisce sotto l'autorità del titolare del trattamento, quest'ultimo può essere esonerato dalla propria responsabilità, sulla base dell'articolo 82, paragrafo 3, del RGPD, unicamente se prova che non sussiste alcun nesso di causalità tra l'eventuale violazione dell'obbligo di protezione dei dati, ad esso incombente in forza di tale regolamento, e il danno subìto dall'interessato v., in tal senso, sentenze del 14 dicembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU C 2023 986, punto 72, e dell'11 aprile 2024, juris, C‑741/21, EU C 2024 288, punto 51 . 166    Pertanto, affinché tale titolare possa essere esonerato dalla sua responsabilità, in forza dell'articolo 82, paragrafo 3, non può essere sufficiente che egli dimostri di aver impartito istruzioni alle persone che agiscono sotto la sua autorità, a norma di tale regolamento, e che una di dette persone sia venuta meno al suo obbligo di seguire tali istruzioni, cosicché essa ha contribuito al verificarsi del danno di cui trattasi v., in questo senso, sentenza dell'11 aprile 2024, juris, C‑741/21, EU C 2024 288, punto 52 . 167    In secondo luogo, per quanto riguarda le norme riguardanti i mezzi di prova, occorre ricordare che il RGPD non stabilisce norme relative all'ammissione e al valore probatorio di un mezzo di prova che debbano essere applicate dai giudici nazionali investiti di un'azione di risarcimento danni basata sull'articolo 82 di tale regolamento. Pertanto, in mancanza di norme del diritto dell'Unione in materia, spetta all'ordinamento giuridico di ciascuno Stato membro stabilire le modalità delle azioni intese a garantire la tutela dei diritti spettanti ai singoli in forza di detto articolo 82 e, in particolare, le norme inerenti ai mezzi di prova, fatto salvo il rispetto dei principi di equivalenza e di effettività v., in tal senso, sentenza del 14 dicembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU C 2023 986, punto 60 e giurisprudenza ivi citata . 168    In terzo luogo, per quanto riguarda un parere emesso in forza dell'articolo 58, paragrafo 3, lettera b , del RGPD, occorre ricordare che tale articolo stabilisce i poteri delle autorità di controllo. 169    Infatti, l'articolo 58 del RGPD conferisce a tali autorità, al suo paragrafo 1, poteri di indagine al suo paragrafo 2, il potere di adottare correttivi al suo paragrafo 3, i poteri autorizzativi e consultivi ivi elencati nonché, al suo paragrafo 5, il potere di intentare un'azione e, ove del caso, di agire in sede giudiziale, in caso di violazione di tale regolamento, per far rispettare le disposizioni dello stesso. 170    Orbene, tra i poteri elencati all'articolo 58, paragrafo 3, del RGPD, figura, a tale articolo 58, paragrafo 3, lettera b , dello stesso, quello di «rilasciare, di propria iniziativa o su richiesta, pareri destinati al parlamento nazionale, al governo dello Stato membro, oppure, conformemente al diritto degli Stati membri, ad altri organismi e istituzioni e al pubblico su questioni riguardanti la protezione dei dati personali». 171    Risulta chiaramente dal tenore letterale di quest'ultima disposizione, in particolare dal termine «pareri», che l'emissione di un siffatto parere rientra nei poteri consultivi e non già nei poteri autorizzativi dell'autorità di controllo. 172    L'uso dei termini «pareri» e «poteri consultivi» indica altresì che un parere emesso sulla base dell'articolo 58, paragrafo 3, lettera b , del RGPD non è, in forza del diritto dell'Unione, giuridicamente vincolante. 173    Il considerando 143 del RGPD conferma tale interpretazione. Infatti, esso enuncia che «ogni persona fisica o giuridica dovrebbe poter proporre un ricorso giurisdizionale effettivo dinanzi alle competenti autorità giurisdizionali nazionali contro una decisione dell'autorità di controllo che produce effetti giuridici nei confronti di detta persona. Tale decisione riguarda in particolare l'esercizio di poteri di indagine, correttivi e autorizzativi da parte dell'autorità di controllo o l'archiviazione o il rigetto dei reclami. Tuttavia, tale diritto a un ricorso giurisdizionale effettivo non comprende altre misure adottate dalle autorità di controllo che non sono giuridicamente vincolanti, come pareri o consulenza forniti dall'autorità di controllo». 174    Ebbene, dal momento che un parere fornito al titolare del trattamento non è giuridicamente vincolante, esso non può dimostrare, di per sé, una mancanza di imputabilità del danno in capo a tale titolare, ai sensi della giurisprudenza citata al punto 164 della presente sentenza, né, pertanto, essere sufficiente per esonerare detto titolare dalla responsabilità in forza dell'articolo 82, paragrafo 3, del RGPD. 175    Una siffatta interpretazione di tale articolo 82, paragrafo 3 è altresì conforme agli obiettivi perseguiti dal RGPD di garantire un livello elevato di protezione delle persone fisiche con riguardo al trattamento dei loro dati personali e di garantire il risarcimento effettivo dei danni che esse possono subire a causa di trattamenti di tali dati effettuati in violazione di detto regolamento. Infatti, se al titolare del trattamento bastasse invocare un parere non giuridicamente vincolante per sottrarsi a qualsiasi responsabilità e, correlativamente, a qualsiasi obbligo di risarcimento, esso non sarebbe spronato a fare tutto ciò che è in suo potere per garantire tale elevato livello di protezione e rispettare gli obblighi imposti da detto regolamento. 176    Alla luce di quanto precede, occorre rispondere all'ottava questione dichiarando che l'articolo 82, paragrafo 3, del RGPD deve essere interpretato nel senso che un parere dell'autorità di controllo di uno Stato membro, emesso sulla base dell'articolo 58, paragrafo 3, lettera b , di tale regolamento, non è sufficiente ad esonerare dalla responsabilità, ai sensi dell'articolo 82, paragrafo 2, di detto regolamento, l'autorità responsabile della tenuta del registro del commercio di tale Stato membro avente la qualità di «titolare del trattamento» ai sensi dell'articolo 4, punto 7, del regolamento medesimo.  Sulle spese 177    Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione. Per questi motivi, la Corte Prima Sezione dichiara 1       L'articolo 21, paragrafo 2, della direttiva UE 2017/1132 del Parlamento europeo e del Consiglio, del 14 giugno 2017, relativa ad alcuni aspetti di diritto societario, deve essere interpretato nel senso che esso non impone ad uno Stato membro l'obbligo di consentire la pubblicità, nel registro del commercio, di un contratto di società soggetto alla pubblicità obbligatoria prevista da tale direttiva e contenente dati personali diversi dai dati personali minimi richiesti, la cui pubblicazione non è richiesta dal diritto di tale Stato membro. 2       Il regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE regolamento generale sulla protezione dei dati , in particolare l'articolo 4, punti 7 e 9 dello stesso, deve essere interpretato nel senso che l'autorità responsabile della tenuta del registro del commercio di uno Stato membro che pubblica, in tale registro, i dati personali contenuti in un contratto di società soggetto all'obbligo di pubblicità previsto dalla direttiva 2017/1132, che le è stato trasmesso nell'ambito di una domanda di iscrizione della società in questione nel suddetto registro, è tanto «destinatario» di tali dati quanto, soprattutto nei limiti in cui li mette a disposizione del pubblico, «titolare del trattamento» di detti dati, ai sensi di tale disposizione, anche qualora tale contratto contenga dati personali non richiesti da tale direttiva o dal diritto di tale Stato membro. 3       La direttiva 2017/1132, in particolare il suo articolo 16, nonché l'articolo 17 del regolamento 2016/679 devono essere interpretati nel senso che ostano a una normativa o a una prassi di uno Stato membro che conduca l'autorità responsabile della tenuta del registro del commercio di tale Stato membro a respingere qualsiasi domanda di cancellazione di dati personali, non richiesti da tale direttiva o dal diritto di detto Stato membro, contenuti in un contratto di società pubblicato in detto registro, qualora non sia stata fornita a tale autorità una copia di detto contratto che ometta siffatti dati, contrariamente a quanto previsto nelle modalità procedurali stabilite dalla normativa stessa. 4       L'articolo 4, punto 1, del regolamento 2016/679 deve essere interpretato nel senso che la firma autografa di una persona fisica rientra nella nozione di «dato personale» ai sensi di tale disposizione. 5       L'articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che una perdita del controllo di durata limitata, da parte dell'interessato, sui suoi dati personali, a causa della messa a disposizione del pubblico di tali dati, online, nel registro del commercio di uno Stato membro, può essere sufficiente a cagionare un «danno immateriale», purché tale persona dimostri di aver effettivamente subìto un siffatto danno, per quanto minimo, senza che tale nozione di «danno immateriale» richieda la dimostrazione che sussistono ulteriori conseguenze negative tangibili. 6       L'articolo 82, paragrafo 3, del regolamento 2016/679 deve essere interpretato nel senso che un parere dell'autorità di controllo di uno Stato membro, emesso sulla base dell'articolo 58, paragrafo 3, lettera b , di tale regolamento, non è sufficiente ad esonerare dalla responsabilità, ai sensi dell'articolo 82, paragrafo 2, di detto regolamento, l'autorità responsabile della tenuta del registro del commercio di tale Stato membro avente la qualità di «titolare del trattamento» ai sensi dell'articolo 4, punto 7, del regolamento medesimo.