Violazioni Privacy, il garante può ordinare d’ufficio di cancellare i dati
Con la sentenza sulla causa C-46/23 la Corte Ue ha chiarito che in caso di trattamenti illeciti l’Authority nazionale ha facoltà di ordinare la cancellazione di dati, anche in assenza di una previa richiesta dell’interessato. E la cancellazione può riguardare sia i dati raccolti presso l’interessato stesso sia quelli provenienti da un’altra fonte.
Il caso a quo
Nel 2020 un’amministrazione comunale ungherese aveva deciso di aiutare finanziariamente le persone rese più fragili dalla pandemia di Covid-19. A tal fine, aveva richiesto all’Erario e a un ufficio governativo distrettuale di fornirle i dati personali necessari alla verifica delle condizioni di ammissibilità per l’ottenimento dell’aiuto.
Avvertita da una segnalazione, l’autorità ungherese incaricata della protezione dei dati personali aveva constatato che entrambi gli organi interrogati avevano violato le norme del RGPD nel fornire i dati. Per tale motivo venivano di conseguenza inflitte sanzioni pecuniarie.
Risultava, in effetti, che della diffusione dei dati non erano stati informati gli interessati, entro il termine di impartito di un mese, né dell’utilizzo, né della finalità, né dei loro diritti in materia di protezione della loro privacy. A seguito di tale situazione il garante privacy aveva poi ordinato la cancellazione dei dati delle persone ammissibili all’aiuto che non avevano richiesto l’aiuto medesimo.
La decisione Cgue
L’amministrazione “condannata” contetstava la misura sanzionatoria e aveva adito il giudice che ha operato il rinvio pregiudiziale alla Cgue sull’esistenza o meno di tale potere, in capo al garante nazionale, di ordinare la cancellazione dei dati personali in assenza di una previa richiesta presentata a tal fine dall’interessato.
Nella sua sentenza, la Corte di giustizia risponde che l’autorità di controllo di uno Stato membro può ordinare d’ufficio, vale a dire anche in assenza di una previa richiesta dell’interessato presentata a tal fine, la cancellazione di dati trattati illecitamente se una simile misura è necessaria per adempiere il suo compito consistente nel vigilare sul pieno rispetto del RGPD. E, precisa la Cgue, che esigere la specifica richiesta dell’interessato consentirebbe al responsabile del trattamento di conservare i dati e di continuare a trattarli illecitamente.
Infine, conclude la Cgue, chiarendo che l’autorità di controllo di uno Stato membro può ordinare la cancellazione di dati personali trattati illecitamente sia qualora essi provengano direttamente dall’interessato sia nel caso in cui provengano da un’altra fonte.
-U74705442727hcN-735x735@IlSole24Ore-Web.jpg?r=86x86)
