Tutela della privacy, l’autorità di controllo non deve sempre infliggere una sanzione
Per la Cgue può astenersene qualora il responsabile abbia già adottato le misure necessarie di propria iniziativa
L’autorità di controllo non è tenuta ad adottare una misura correttiva in tutti i casi di violazione e, in particolare, a infliggere una sanzione pecuniaria. Lo ha precisato la Cgue sentenza nella causa C-768/21.
Il caso esaminato
In Germania, una Cassa di risparmio ha constatato che una delle sue dipendenti aveva consultato più volte, senza esservi autorizzata, i dati personali di un cliente. La Cassa di risparmio non ne ha informato quest’ultimo in quanto il suo responsabile della protezione dei dati aveva ritenuto che non vi fosse per lui un rischio elevato. Infatti, la dipendente aveva confermato per iscritto di non aver né copiato né conservato i dati, di non averli trasmessi a terzi e che non lo avrebbe fatto in futuro. Inoltre, la Cassa di risparmio aveva adottato provvedimenti disciplinari nei suoi confronti. La Cassa di risparmio ha comunque notificato tale violazione al commissario per la protezione dei dati del Land.
Dopo essere venuto incidentalmente a conoscenza di tale fatto, il cliente ha presentato un reclamo dinanzi a detto commissario per la protezione dei dati. Dopo aver sentito la Cassa di risparmio, il commissario per la protezione dei dati ha informato il cliente che non riteneva necessario adottare misure correttive nei confronti della Cassa di risparmio.
Il cliente ha quindi proposto un ricorso dinanzi a un giudice tedesco, chiedendogli di ingiungere al commissario per la protezione dei dati di intervenire nei confronti della Cassa di risparmio e, in particolare, di infliggerle una sanzione pecuniaria.
Il giudice tedesco ha chiesto alla Corte di interpretare il regolamento generale sulla protezione dei dati (RGPD)1 al riguardo.
La decisione della Corte
La Corte risponde che, in caso di accertamento di una violazione di dati personali, l’autorità di controllo non è tenuta ad adottare una misura correttiva, in particolare l’irrogazione di una sanzione amministrativa, qualora ciò non sia necessario al fine di porre rimedio alla carenza rilevata e garantire il pieno rispetto del RGPD. Ciò potrebbe verificarsi, in particolare, qualora il titolare del trattamento, non appena ne sia venuto a conoscenza, abbia adottato le misure necessarie affinché detta violazione cessi e non si ripeta.
Il RGPD lascia all’autorità di controllo un margine di discrezionalità quanto al modo in cui essa deve porre rimedio all’inadeguatezza constatata. Tale margine è limitato dalla necessità di garantire un livello coerente ed elevato di protezione dei dati personali mediante un’applicazione rigorosa del RGPD.
Spetta al giudice tedesco verificare se il commissario per la protezione dei dati abbia rispettato tali limiti.
