Sentenza della Corte nella causa C-768/21 | Land Hessen (Obbligo di agire dell’autorità per la protezione dei dati)

Protezione dei dati personali: L'autorità di controllo non è tenuta ad adottare una misura correttiva in tutti i casi di violazione e, in particolare, a infliggere una sanzione pecuniaria

Essa può astenersene qualora il responsabile abbia già adottato le misure necessarie di propria iniziativa In Germania, una Cassa di risparmio ha constatato che una delle sue dipendenti aveva consultato più volte, senza esservi autorizzata, i dati personali di un cliente. La Cassa di risparmio non ne ha informato quest'ultimo in quanto il suo responsabile della protezione dei dati aveva ritenuto che non vi fosse per lui un rischio elevato. Infatti, la dipendente aveva confermato per iscritto di non aver né copiato né conservato i dati, di non averli trasmessi a terzi e che non lo avrebbe fatto in futuro. Inoltre, la Cassa di risparmio aveva adottato provvedimenti disciplinari nei suoi confronti. La Cassa di risparmio ha comunque notificato tale violazione al commissario per la protezione dei dati del Land.

Dopo essere venuto incidentalmente a conoscenza di tale fatto, il cliente ha presentato un reclamo dinanzi a detto commissario per la protezione dei dati. Dopo aver sentito la Cassa di risparmio, il commissario per la protezione dei dati ha informato il cliente che non riteneva necessario adottare misure correttive nei confronti della Cassa di risparmio.

Il cliente ha quindi proposto un ricorso dinanzi a un giudice tedesco, chiedendogli di ingiungere al commissario per la protezione dei dati di intervenire nei confronti della Cassa di risparmio e, in particolare, di infliggerle una sanzione pecuniaria.

Il giudice tedesco ha chiesto alla Corte di interpretare il regolamento generale sulla protezione dei dati (RGPD)1 al riguardo.

La Corte risponde che, in caso di accertamento di una violazione di dati personali, l'autorità di controllo 2 non è tenuta ad adottare una misura correttiva 3 , in particolare l'irrogazione di una sanzione amministrativa, qualora ciò non sia necessario al fine di porre rimedio alla carenza rilevata e garantire il pieno rispetto del RGPD. Ciò potrebbe verificarsi, in particolare, qualora il titolare del trattamento, non appena ne sia venuto a conoscenza, abbia adottato le misure necessarie affinché detta violazione cessi e non si ripeta.

Il RGPD lascia all’autorità di controllo un margine di discrezionalità quanto al modo in cui essa deve porre rimedio all’inadeguatezza constatata. Tale margine è limitato dalla necessità di garantire un livello coerente ed elevato di protezione dei dati personali mediante un’applicazione rigorosa del RGPD.

Spetta al giudice tedesco verificare se il commissario per la protezione dei dati abbia rispettato tali limiti.

 Direzione della Comunicazione Unità Stampa e informazione curia.europa.eu Restate in contatto! IMPORTANTE: Il rinvio pregiudiziale consente ai giudici degli Stati membri, nell'ambito di una controversia della quale sono investiti, di interpellare la Corte in merito all’interpretazione del diritto dell’Unione o alla validità di un atto dell’Unione. La Corte non risolve la controversia nazionale. Spetta al giudice nazionale risolvere la causa conformemente alla decisione della Corte. Tale decisione vincola egualmente gli altri giudici nazionali ai quali venga sottoposto un problema simile.

Documento non ufficiale ad uso degli organi d'informazione che non impegna la Corte di giustizia.

Il testo integrale e, se del caso, la sintesi della sentenza sono pubblicati sul sito CURIA il giorno della pronuncia.

Contatto stampa: Sofia Riesino ? (+352) 4303 2088.

Immagini della pronuncia della sentenza sono disponibili su «Europe by Satellite» ? (+32) 2 2964106.

1 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (regolamento generale sulla protezione dei dati).

2 Nella specie, il commissario per la protezione dei dati del Land.

3 L’autorità di controllo può, in particolare, rivolgere ammonimenti al titolare del trattamento, ingiungergli di soddisfare le richieste dell’interessato e di conformare le operazioni di trattamento alle disposizioni al RGPD o, ancora, in aggiunta o in luogo di tali misure, infliggergli una sanzione amministrativa pecuniaria.