Trattamento dei dati: se il titolare adotta le misure necessarie a sanare la violazione accertata, l’autorità di controllo può astenersi dall’irrogazione della sanzione

La Redazione
26 Settembre 2024

Con sentenza del 26 settembre 2024 (C-768/21), la CGUE ha affermato che in caso di accertata violazione dei dati personali, l'autorità di controllo non è tenuta ad adottare una misura correttiva, in particolare una sanzione amministrativa, qualora ciò non sia utile al fine di porre rimedio alla carenza rilevata e garantire il pieno rispetto del GDPR. Ciò è possibile quando il titolare del trattamento dei dati ha già adottato le misure necessarie di propria iniziativa affinché detta violazione cessi e non si ripeta.

In Germania, una Cassa di risparmio ha constatato che una delle sue dipendenti aveva consultato più volte, senza esservi autorizzata, i dati personali di un cliente. La Cassa di risparmio non ne ha informato quest'ultimo in quanto il suo responsabile della protezione dei dati aveva ritenuto che non vi fosse per lui un rischio elevato. Infatti, la dipendente aveva confermato per iscritto di non aver né copiato né conservato i dati, di non averli trasmessi a terzi e che non lo avrebbe fatto in futuro. Inoltre, la Cassa di risparmio aveva adottato provvedimenti disciplinari nei suoi confronti. La Cassa di risparmio ha comunque notificato tale violazione al commissario per la protezione dei dati del Land.

Dopo essere venuto incidentalmente a conoscenza di tale fatto, il cliente ha presentato un reclamo dinanzi a detto commissario per la protezione dei dati. Dopo aver sentito la Cassa di risparmio, il commissario per la protezione dei dati ha informato il cliente che non riteneva necessario adottare misure correttive nei confronti della Cassa di risparmio.

Il cliente ha quindi proposto un ricorso dinanzi a un giudice tedesco, chiedendogli di ingiungere al commissario per la protezione dei dati di intervenire nei confronti della Cassa di risparmio e, in particolare, di infliggerle una sanzione pecuniaria.

Il giudice tedesco ha chiesto alla Corte di interpretare il regolamento generale sulla protezione dei dati (GDPR) al riguardo.

La Corte risponde che, in caso di accertamento di una violazione di dati personali, l'autorità di controllo non è tenuta ad adottare una misura correttiva, in particolare l'irrogazione di una sanzione amministrativa, qualora ciò non sia necessario al fine di porre rimedio alla carenza rilevata e garantire il pieno rispetto del GDPR. Ciò potrebbe verificarsi, in particolare, qualora il titolare del trattamento, non appena ne sia venuto a conoscenza, abbia adottato le misure necessarie affinché detta violazione cessi e non si ripeta.

Il GDPR lascia all'autorità di controllo un margine di discrezionalità quanto al modo in cui essa deve porre rimedio all'inadeguatezza constatata. Tale margine è limitato dalla necessità di garantire un livello coerente ed elevato di protezione dei dati personali mediante un'applicazione rigorosa del GDPR.

Spetta al giudice tedesco verificare se il commissario per la protezione dei dati abbia rispettato tali limiti.