Violazione del GDPR: per la CGUE il Garante non è obbligato ad infliggere una sanzione
CGUE, sentenza 26 settembre 2024, causa C 768/21
Il caso. Una banca veniva a conoscenza che una dipendente aveva consultato ripetutamente i dati personali di un cliente senza autorizzazione. Alla luce del fatto che i dati non fossero stati copiati o divulgati a terzi, il DPO dell'istituto ha ritenuto che non ci fosse un rischio significativo, decidendo di non informare la dipendente. La banca ha comunque preso provvedimenti disciplinari nei suoi confronti e ha notificato la violazione all'autorità per la protezione dei dati. Quando il cliente ha appreso di questa situazione, ha presentato un reclamo all'autorità, la quale ha deciso di non sanzionare la banca né di adottare misure correttive. A questo punto, il cliente ha avviato un ricorso giudiziale. Il giudice del rinvio ha quindi posto la questione pregiudiziale alla Corte di Giustizia dell'UE per un'interpretazione del Regolamento generale sulla protezione dei dati (GDPR).
L'analisi della Corte di Giustizia dell'Unione Europea. La CGUE con il provvedimento in esame ha sottolineato come a norma dell'art. 57, paragrafo 1, lettera f), del GDPR, ogni autorità di controllo è tenuta, nel suo territorio, a trattare i reclami che qualsiasi persona ha il diritto di proporre quando considera che un trattamento di dati personali che la riguardano costituisca una violazione del Regolamento, ad esaminarne l'oggetto nella misura necessaria e ad informare l'autore del reclamo dello stato e dell'esito dell'indagine entro un termine ragionevole. L'autorità di controllo deve trattare un siffatto reclamo con la dovuta diligenza.
Al fine del trattamento dei reclami così presentati, l'art. 58, paragrafo 1, conferisce a ciascuna autorità di controllo significativi poteri di indagine. Quando una siffatta autorità constata, al termine della sua indagine, una violazione delle disposizioni del GDPR, essa è tenuta a reagire in modo appropriato al fine di porre rimedio all'inadeguatezza constatata, poiché qualsiasi misura, come precisato dal considerando 129, deve, in particolare, essere appropriata, necessaria e proporzionata al fine di assicurare la conformità, tenuto conto delle circostanze di ciascun singolo caso. A tal fine, l'articolo 58, paragrafo 2, elenca le diverse misure correttive che l'autorità di controllo può adottare.
Pertanto, ha proseguito la Corte, in forza dell'art. 58, paragrafo 2, l'autorità di controllo ha il potere, in particolare, di richiamare all'ordine un titolare del trattamento o un responsabile del trattamento ove i trattamenti abbiano comportato una violazione delle disposizioni, di ordinare al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell'interessato di esercitare i suoi diritti, di ordinare al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni, se del caso, in modo specifico ed entro un termine determinato, o ancora di imporre una sanzione amministrativa pecuniaria ai sensi dell'art. 83 del GDPR, in aggiunta o in luogo delle misure di cui a tale art. 58, paragrafo 2, in funzione delle caratteristiche specifiche di ciascun caso.
Secondo la CGUE ne consegue che la procedura di reclamo è concepita come un meccanismo idoneo a salvaguardare efficacemente i diritti e gli interessi delle persone coinvolte.
Nel caso di specie, dalla domanda di pronuncia pregiudiziale risulta che l'Autorità ha esaminato nel merito il reclamo presentato dal ricorrente nel procedimento principale e lo ha informato dell'esito dell'indagine. Più specificamente, l'Autorità ha confermato che una violazione dei dati personali di quest'ultimo si era verificata in seno alla Banca, consistente nell'accesso non autorizzato a questi ultimi da parte di una delle sue dipendenti. Tuttavia, per quanto riguarda i diritti di consultazione dei membri del personale dell'istituto bancario, l'Autorità ha respinto il reclamo presentato dal ricorrente nel procedimento principale.
A tal riguardo, la Corte ha rilevato che il GDPR lascia all'autorità di controllo un margine di discrezionalità quanto al modo in cui essa deve porre rimedio all'inadeguatezza constatata, poiché il succitato art. 58, paragrafo 2, conferisce a tale autorità il potere di adottare diverse misure correttive. Pertanto, la Corte ha già dichiarato che la scelta del mezzo appropriato e necessario spetta all'autorità di controllo che deve fare tale scelta prendendo in considerazione tutte le circostanze del caso concreto e assolvendo al suo compito di vigilare sul pieno rispetto del GDPR con tutta la diligenza richiesta.
Il principio di diritto. La CGUE con la sentenza del 26 settembre 2024, resa nella causa C 768/21, ha affermato emanato il principio secondo il quale in caso di constatazione di una violazione di dati personali, l'autorità di controllo non è tenuta ad adottare una misura correttiva, in particolare una sanzione amministrativa pecuniaria, ai sensi dell'art. 58, paragrafo 2, del GDPR qualora un siffatto intervento non sia appropriato, necessario o proporzionato al fine di porre rimedio all'inadeguatezza constatata e garantire il pieno rispetto di tale regolamento.