La Prima Sezione della Corte di Giustizia UE, con sentenza del 26 settembre 2024, resa nella causa C‑768/21, si è espressa sulla discrezionalità dell’Autorità Garante della privacy nell’adozione di misure protettive e nell’infliggere sanzioni pecuniarie, in caso di violazione del GDPR.
Con riferimento al caso di specie, una banca aveva constatato che uno dei dipendenti aveva consultato più volte, senza esservi autorizzata, i dati personali di un cliente.
La Banca aveva deciso di non informare quest’ultimo, poiché il suo responsabile della protezione dei dati aveva ritenuto che non vi fosse per lui un rischio elevato, in quanto il dipendente aveva confermato per iscritto di non aver né copiato né conservato i dati, di non averli trasmessi a terzi e che non lo avrebbe fatto in futuro.
Inoltre, la Banca aveva adottato provvedimenti disciplinari nei confronti del dipendente, ed aveva comunque notificato tale violazione al commissario per la protezione dei dati.
Dopo essere venuto incidentalmente a conoscenza di tale fatto, il cliente della banca aveva quindi presentato un reclamo dinanzi a detto commissario per la protezione dei dati, che però non aveva ritenuto necessario adottare misure correttive nei confronti della Banca; il cliente proponeva quindi un ricorso giudiziale.
Il giudice del rinvio rimetteva la questione pregiudiziale alla Corte di Giustizia UE, affinché interpretasse il Regolamento generale sulla protezione dei dati (RGPD) al riguardo.
Per la Corte, in caso di accertamento di una violazione di dati personali, l’autorità di controllo non è tenuta ad adottare una misura correttiva, come l’irrogazione di una sanzione amministrativa, qualora ciò non sia necessario al fine di porre rimedio alla carenza rilevata e garantire il pieno rispetto del GDPR.
Ciò potrebbe verificarsi, in particolare, qualora il titolare del trattamento, non appena ne sia venuto a conoscenza, abbia adottato le misure necessarie affinché tale violazione cessi e non si ripeta: il GDPR lascia infatti all’autorità di controllo un margine di discrezionalità quanto al modo in cui essa deve porre rimedio all’inadeguatezza constatata.
Tale margine è limitato dalla necessità di garantire un livello coerente ed elevato di protezione dei dati personali mediante un’applicazione rigorosa del GDPR: attenendo al merito, spetta quindi al giudice del rinvio verificare se il commissario per la protezione dei dati abbia rispettato i limiti imposti dal regolamento.
Questo il principio affermato:
Il combinato disposto dell’articolo 57, paragrafo 1, lettere a) e f), dell’articolo 58, paragrafo 2, e dell’articolo 77, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),
deve essere interpretato nel senso che:
in caso di constatazione di una violazione di dati personali, l’autorità di controllo non è tenuta ad adottare una misura correttiva, in particolare una sanzione amministrativa pecuniaria, ai sensi di tale articolo 58, paragrafo 2, qualora un siffatto intervento non sia appropriato, necessario o proporzionato al fine di porre rimedio all’inadeguatezza constatata e garantire il pieno rispetto di tale regolamento.