Nell’era digitale, la protezione dei dati personali è un tema di crescente rilevanza, dove sempre più informazioni sensibili vengono elaborate dalle autorità di controllo. Nella sentenza della Cgue emerge l’interrogativo se quest’ultime possano ordinare la cancellazione dei dati personali trattati illecitamente anche in assenza di una specifica richiesta dell’interessato.
Comunicato stampa n. 48/24 relativa alla sentenza cgue (c46-23) del 14 marzo 2024
La questione
La sentenza della Corte di Giustizia dell’Unione europea (C/46-23) del 14 marzo 2024 ha riguardato una vicenda che ha coinvolto l’interpretazione e l’applicazione di alcune norme previste dal Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea.
Al centro della controversia vi era la richiesta avanzata da un’amministrazione di una circoscrizione ungherese per la cancellazione di dati personali trattati in modo illecito, rivolta all’autorità nazionale per la protezione dei dati e la libertà dell’informazione.
In particolare, l’amministrazione della circoscrizione ungherese ha deciso di dare un sostegno finanziario ai residenti colpiti dal COVID-19, chiedendo specifici dati personali all’amministrazione erariale ungherese. In seguito, la stessa ha stabilito i criteri di ammissibilità per l’assistenza finanziaria creando una banca dati per gestire il programma di aiuti.
Tuttavia, un’indagine avviata d’ufficio dall’autorità nazionale ungherese per la protezione dei dati ha rivelato violazioni del GDPR da parte dell’amministrazione municipale riguardanti la corretta informazione agli interessati sul trattamento dei loro dati personali. Di conseguenza, l’autorità ha ordinato all’amministrazione i dati dei beneficiari che avrebbero avuto diritto all’assistenza finanziaria ma che non l’hanno richiesta.
L’iter giudiziario si è concluso con la decisione della Corte costituzionale ungherese che ha stabilito che l’autorità di controllo aveva il diritto di ordinare d’ufficio la cancellazione dei dati personali trattati illegalmente, anche senza una richiesta esplicita delle parti interessate.
La statuizione ha portato il giudice del rinvio a sollevare due domande pregiudiziale alla CGUE sull’esatta interpretazione normativa dell’art. 17 e dell’art. 58, paragrafo 2, del GDPR. In particolare, ci si è chiesto se l’autorità nazionale di controllo potesse ordinare la cancellazione dei dati personali trattati illegalmente e se ciò dipendesse dal fatto che i dati fossero stati raccolti direttamente dall’interessato o da terze parti.
Ambito normativo di riferimento
Il quadro normativo di riferimento vede coinvolti tra i principi cardine del GDPR il diritto fondamentale alla protezione dei dati personali, come garantito dalla Carta di Nizza e dal Trattato sul funzionamento dell’Unione europea.
L’uniformità di protezione dei dati personali tra tutti gli Stati membri vene garantita a tutti i cittadini, fornendo alle autorità di controllo gli stessi poteri efficaci per sorvegliare e far rispettare il regolamento.
L’art. 17 del GDPR
L’art. 17 del GDPR, conosciuto come “diritto all’oblio”, conferisce agli interessati il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che li riguardano senza ritardo. Il titolare del trattamento è tenuto a cancellare tali dati se uno dei motivi elencati nel par. 1 della norma è soddisfatto. Questi motivi includono situazioni in cui i dati non sono più necessari per le finalità per cui sono stati raccolti, l’interessato revoca il consenso al trattamento o si oppone ad esso senza un motivo legittimo prevalente, i dati sono stati trattati illecitamente, devono essere cancellati per adempiere a un obbligo legale, o sono stati raccolti relativamente all’offerta di servizi della società dell’informazione. Il titolare del trattamento, se ha reso pubblici i dati personali e deve cancellarli, deve adottare misure ragionevoli per informare altri titolari del trattamento che stanno trattando i dati della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali, eccetto i casi in cui il trattamento sia necessario per l’esercizio della libertà di espressione e di informazione, per adempiere un obbligo legale, per motivi di interesse pubblico, per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
Art. 58 GDPR
L’autorità di controllo in materia di protezione dei dati dispone di un vasto insieme di poteri al fine d garantire il pieno rispetto del Regolamento Generale sulla Protezione dei Dati nell’Unione Europea. Questi poteri, previsti dall’art. 58 del GDPR, rappresentano uno strumento per vigilare sul trattamento dei dati personali e intervenire in modo tempestivo in presenza di violazioni. Ad esempio, l’autorità di controllo può richiedere informazioni ai responsabili del trattamento, condurre indagini approfondite e notificare presunte violazioni del regolamento. L’autorità può anche imporre sanzioni correttive, ovvero l’emissione di avvertimenti o ammonimenti, e finanche ordinare la cancellazione dei dati trattati illecitamente. Tuttavia, è importante sottolineare che l’esercizio di tali poteri è soggetto a garanzie procedurali, come il ricorso giurisdizionale e il rispetto del diritto unionale.
Potrebbero interessarti anche:
Questioni pregiudiziali
Il giudice del rinvio ha sollevato due questioni pregiudiziali riguardo l’applicazione dell’art. 58, par. 2, lettere c), d) e g) del GDPR. Questa norma delinea il potere delle autorità di controllo degli Stati membri in materia di adozione di misure correttive nei confronti di trattamenti illeciti di dati personali.
La questione specifica riguarda la capacità dell’autorità di controllo di ordinare la cancellazione dei dati personali trattati illegalmente senza la presentazione di una richiesta esplicita da parte dell’interessato, come previsto dall’art. 17, par.1, del GDPR. In particolare, il quesito verte sulla possibilità che l’autorità di controllo intervenga d’ufficio per far rispettare il principio di liceità, correttezza e trasparenza nel trattamento dei dati personali, anche in assenza di una richiesta esplicita da parte del soggetto interessato.
La CGUE ha riconosciuto che l’art. 17, par. 1, del GDPR conferisce all’interessato il diritto di richiedere la cancellazione dei propri dati personali trattati illegalmente. Tuttavia, la disposizione dell’art. 58, paragrafo 2, del RGPD attribuisce all’autorità di controllo il potere di adottare misure correttive, incluso l’ordine di cancellazione dei dati personali illecitamente trattati.
In quest’ottica, i giudici di Lussemburgo hanno sottolineato che il principio di responsabilità da parte del titolare del trattamento implica l’obbligo di rispettare tutte le disposizioni del GDPR, anche in assenza di una specifica richiesta da parte dell’interessato. Per l’effetto, l’autorità di controllo è legittimata ad agire d’ufficio per garantire il pieno rispetto del regolamento e per proteggere i diritti fondamentali delle persone fisiche finalizzato alla protezione dei loro dati personali.
Questa interpretazione è stata supportata anche dagli obiettivi generali del GDPR, che mira a garantire un elevato livello di protezione dei dati personali e a ripristinare le situazioni di violazione delle normative al fine di renderle conformi al diritto unionale.
In definitiva, la Corte ha stabilito che l’autorità di controllo di uno Stato membro è legittimata a ordinare la cancellazione dei dati personali trattati illegalmente, anche senza una specifica richiesta dell’interessato, nell’esercizio dei suoi poteri di adozione di misure correttive previste dal GDPR.
Conclusioni
La Corte di Giustizia UE ha chiarito che l’autorità di controllo di uno Stato membro può ordinare d’ufficio, anche senza una richiesta specifica dell’interessato, la cancellazione di dati trattati illecitamente. Un tale potere è essenziale per garantire che le autorità di controllo siano in grado di adempiere al loro compito di vigilanza sul pieno rispetto del GDPR. Ciò permette all’autorità di controllo di essere in grado di intervenire tempestivamente per porre rimedio alla violazione, senza dipendere da una richiesta preventiva dell’interessato.
Volume consigliato
Privacy. Normativa essenziale
Con il D.Lgs. n. 101/2018 – in vigore dal 19 settembre 2018 – è avvenuto l’adeguamento del nostro Codice privacy (D.Lgs. n. 196/2003) alle numerose modifiche introdotte dal Regolamento europeo 2016/679, noto anche come GDPR – General Data Protection Regulation.
Importanti sono anche le novità intervenute grazie a due recenti Decreti attuativi delle Direttive UE, in tema di trattamento dei dati per finalità di prevenzione e repressione di reati (D.Lgs. 18 maggio 2018, n. 51) e di sicurezza delle reti e dei sistemi informativi (D.Lgs. 18 maggio 2018, n. 65).
Il volume raccoglie in un unico corpus il testo delle predette normative, permettendo un’agevole consultazione dei riferimenti legislativi più aggiornati, indispensabili per professionisti, imprese, enti e – in generale – per tutti i soggetti, pubblici e privati, coinvolti nell’attuazione pratica della nuova disciplina.
