Quando il Garante della privacy accerta una violazione del GDPR non è tenuto ad infliggere necessariamente una sanzione
Con sentenza del 26 settembre 2024, resa nella causa C 768/21, la Corte di Giustizia UE si è espressa sulla discrezionalità dell’Autorità Garante della protezione dei dati personali nell’adozione di misure correttive, come le sanzioni pecuniarie, in caso di violazione del GDPR.
Nel caso preso in esame dalla Corte europea, una banca aveva scoperto che una dipendente aveva consultato più volte i dati personali di un cliente, senza esservi però autorizzata.
Considerando che i dati non erano stati copiati né trasmessi a terzi, il Data Protection Officer della banca aveva ritenuto che non vi fosse un rischio elevato, e perciò l’istituto aveva deciso di non informare la dipendente.
Inoltre, la banca aveva adottato provvedimenti disciplinari nei confronti della dipendente, ed aveva comunque notificato regolarmente tale violazione all’autorità per la protezione dei dati.
Dopo essere venuto incidentalmente a conoscenza di tale fatto, il cliente della banca aveva quindi presentato un reclamo dinanzi all’autorità, la quale però non aveva ritenuto necessario sanzionare la banca o adottare altre misure correttive nei suoi confronti, e a quel punto il cliente proponeva ricorso giudiziale.
Il giudice del rinvio rimetteva la questione pregiudiziale alla Corte di Giustizia UE, affinché interpretasse il Regolamento generale sulla protezione dei dati (GDPR) al riguardo.
Per la Corte UE, in caso di accertamento di una violazione di dati personali, l’autorità di controllo non è tenuta ad adottare necessariamente una misura correttiva, come l’irrogazione di una sanzione amministrativa, qualora ciò non sia necessario al fine di porre rimedio alla carenza rilevata e garantire il pieno rispetto del GDPR.
Ciò potrebbe verificarsi, in particolare, qualora il titolare del trattamento, non appena ne sia venuto a conoscenza, abbia adottato le misure necessarie affinché tale violazione cessi e non si ripeta: il GDPR lascia infatti all’autorità di controllo un margine di discrezionalità quanto al modo in cui essa deve porre rimedio all’inadeguatezza constatata.
Tale margine è limitato dalla necessità di garantire un livello coerente ed elevato di protezione dei dati personali mediante un’applicazione rigorosa del GDPR: attenendo al merito, spetta quindi al giudice del rinvio verificare se l’autorità per la protezione dei dati abbia rispettato i limiti imposti dal GDPR.
Questo in sintesi il principio affermato nella suddetta sentenza: “Il combinato disposto dell’articolo 57, paragrafo 1, lettere a) e f), dell’articolo 58, paragrafo 2, e dell’articolo 77, paragrafo 1, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”, che alla luce della sentenza della CGUE deve essere interpretato nel senso che “in caso di constatazione di una violazione di dati personali, l’autorità di controllo non è tenuta ad adottare una misura correttiva, in particolare una sanzione amministrativa pecuniaria, ai sensi di tale articolo 58, paragrafo 2, qualora un siffatto intervento non sia appropriato, necessario o proporzionato al fine di porre rimedio all’inadeguatezza constatata e garantire il pieno rispetto di tale regolamento”.
A fronte di una violazione del GDPR, il Garante della privacy deve perciò reagire in maniera appropriata, ma non per questo l’interessato ha diritto a vedere applicata una sanzione amministrativa.
