CGUE: l’Autorità di uno Stato può ordinare d’ufficio la cancellazione di dati personali trattati illecitamente
15 Marzo 2024
Così si è espressa la Corte di Giustizia UE nella sentenza depositata oggi sulla causa C-46/23 (ECLI:EU:C:2024:239). Il caso è sorto nel 2020 quando l’amministrazione comunale di Újpest (Ungheria) ha deciso di aiutare finanziariamente le persone rese più fragili dalla pandemia di Covid-19. A tal fine, essa ha chiesto all’erario ungherese e all’ufficio governativo competente per territorio di fornirle i dati personali necessari alla verifica delle condizioni di ammissibilità per l’ottenimento dell’aiuto. Tale iniziativa ha fatto scattare una segnalazione all'autorità ungherese incaricata della protezione dei dati che ha constatato che sia l'amministrazione di Újpest sia l'erario ungherese che l'ufficio governativo avevano violato le norme del RGPD, infliggendo di conseguenza sanzioni pecuniarie. Inoltre, veniva ordinata la cancellazione dei dati delle persone ammissibili all’aiuto che non ne avevano però fatto richiesta. L'autorità di controllo ha infatti rilevato che l'amministrazione non ha informato gli interessati, entro il termine di un mese impartito a tal fine, né dell’utilizzo dei loro dati, né della finalità del medesimo, né dei loro diritti in materia di protezione dei dati. L'amministrazione ha contestato tale decisione dinanzi alla Corte di Budapest affermando che l'autorità di controllo non aveva il potere di ordinare la cancellazione dei dati personali in assenza di una previa richiesta presentata a tal fine dall'interessato. La Corte ungherese chiede quindi alla Corte di giustizia di interpretare il GDPR. Con la sentenza depositata oggi, la CGUE chiarisce che «l'autorità di controllo di uno Stato membro può ordinare d'ufficio, vale a dire anche in assenza di una previa richiesta dell'interessato presentata a tal fine, la cancellazione di dati trattati illecitamente se una simile misura è necessaria per adempiere il suo compito consistente nel vigilare sul pieno rispetto del RGPD. Se tale autorità constata che un trattamento di dati non rispetta il RGPD, essa deve porre rimedio alla violazione constatata, e ciò anche senza previa richiesta dell'interessato». Infatti, «esigere una simile richiesta farebbe sì che il responsabile del trattamento potrebbe, in assenza di richiesta, conservare i dati di cui trattasi e continuare a trattarli illecitamente». Inoltre, l'autorità di controllo di uno Stato membro può ordinare la cancellazione di dati personali trattati illecitamente sia qualora essi provengano direttamente dall'interessato sia nel caso in cui provengano da un'altra fonte. |