Protezione dei dati: se l’autorità di controllo rileva una violazione deve agire adottando una misura correttiva anche in base alle circostanze del singolo caso

Un cliente di una Cassa di Risparmio ha chiesto al commissario per la protezione dei dati e la libertà d'informazione del Land Assia (Germania) di intervenire nei confronti della Cassa di Risparmio a causa di una violazione dei suoi dati personali. Infatti, una delle dipendenti della Cassa di Risparmio aveva ripetutamente consultato i suoi dati senza esservi autorizzata.

Il commissario per la protezione dei dati ha riscontrato una violazione della protezione dei dati ai sensi del regolamento generale sulla protezione dei dati (Regolamento (UE) 2016/679, GDPR). Tuttavia, ha concluso che non occorreva intervenire nei confronti della Cassa di Risparmio, che aveva già adottato misure disciplinari nei confronti della dipendente in questione.

Il cliente impugna tale rifiuto dinanzi a un giudice tedesco, chiedendogli di ingiungere al commissario per la protezione dei dati di intervenire nei confronti della Cassa di Risparmio. Egli sostiene, in particolare, che il Commissario per la protezione dei dati avrebbe dovuto infliggere sanzioni pecuniarie alla Cassa di Risparmio.

 Il giudice tedesco ha interrogato la Corte di giustizia relativamente ai poteri e agli obblighi del commissario per la protezione dei dati in quanto «autorità di controllo» ai sensi del GDPR.

L'Avvocato Generale Priit Pikamäe ritiene che l'autorità di controllo abbia l'obbligo di intervenire quando rileva una violazione dei dati personali in sede di esame di un reclamo. Essa sarebbe, in particolare, tenuta a determinare la o le misure correttive più appropriate per porre rimedio alla violazione e far rispettare i diritti dell'interessato. A tal proposito, pur lasciando un certo potere discrezionale all'autorità di controllo, il GDPR richiederebbe che tali misure siano appropriate, necessarie e proporzionate. Ne deriverebbe, da un lato, una limitazione del potere discrezionale nella scelta dei mezzi quando la protezione richiesta può essere garantita solo adottando determinate misure - pertanto, non sarebbe nemmeno escluso che, a seconda delle circostanze specifiche del singolo caso, il potere discrezionale possa limitarsi all'adozione dell'unica misura appropriata - , e dall'altro la possibilità, a determinate condizioni, per l'autorità di controllo di rinunciare alle misure elencate nel GDPR quando ciò sia giustificato dalle circostanze specifiche del singolo caso.

In particolare, ciò potrebbe avvenire nel caso in cui il titolare del trattamento abbia adottato determinate misure di propria iniziativa. In ogni caso, l'interessato non avrebbe il diritto di esigere l'adozione di una determinata misura (tranne, eventualmente, nel caso in cui il potere discrezionale fosse limitato, in funzione delle circostanze specifiche del singolo caso, all'adozione dell'unica misura appropriata. Per quanto riguarda invece l'imposizione di una sanzione pecuniaria, l'Avvocato Generale esclude categoricamente, in ragione della sua natura penale, un diritto soggettivo dell'interessato all'imposizione di una tale sanzione).

Tali principi si applicherebbero anche al regime delle sanzioni amministrative pecuniarie (Per quanto riguarda il potere discrezionale dell'autorità di controllo, l'Avvocato Generale osserva che il principio della parità di trattamento rende necessario sviluppare una prassi amministrativa di irrogazione delle sanzioni pecuniarie che tratti casi simili in modo analogo).