La Corte di Giustizia dell’Unione Europea (CGUE), in una decisione emessa il 26 settembre 2024, ha chiarito un importante aspetto legato all’applicazione del Regolamento Generale sulla Protezione dei Dati (GDPR), definendo i confini entro cui le autorità nazionali di controllo devono agire in caso di violazioni dei dati personali. La sentenza, che fa parte di una lunga serie di decisioni riguardanti la corretta interpretazione del GDPR, ha precisato che le autorità di controllo non sono obbligate a adottare misure correttive o sanzioni in ogni circostanza in cui si riscontri una violazione dei dati personali, a meno che tali interventi non siano ritenuti necessari, appropriati e proporzionati.
Il caso in esame
In Germania, una Cassa di risparmio constatava che una delle sue dipendenti aveva consultato più volte, senza esservi autorizzata, i dati personali di un cliente. La Cassa di risparmio non ne informava quest'ultimo in quanto il suo responsabile della protezione dei dati aveva ritenuto che non vi fosse per lui un rischio elevato. Infatti, la dipendente aveva confermato per iscritto di non aver né copiato né conservato i dati, di non averli trasmessi a terzi e che non lo avrebbe fatto in futuro. Inoltre, la Cassa di risparmio aveva adottato provvedimenti disciplinari nei suoi confronti, fino addirittura a provvedere al licenziamento del dipendente. La Cassa di risparmio provvedeva comunque alla notifica della violazione all’autorità di controllo locale, l'HBDI (Hessischer Beauftragter für Datenschutz und Informationsfreiheit).
Dopo essere venuto incidentalmente a conoscenza di tale fatto, il cliente presentava un reclamo dinanzi alla l'HBDI. Effettuata l’istruttoria, l’Autorità informava il reclamante che non rinveniva motivazioni per l’adozione di misure correttive nei confronti della Cassa di risparmio. Seguiva un ricorso avverso la decisione promosso dal cliente della Cassa di Risparmio al tribunale competente del Land. Il Giudice tedesco, investito della questione, procedeva ad un rinvio pregiudiziale alla Corte di Giustizia Europea per ottenere una interpretazione a riguardo.
Elemento centrale del caso riguarda la lettura del potere delle autorità di controllo di applicare le misure correttive previste dall’articolo 58 del GDPR. È utile sottolineare che il regolamento concede alle autorità di controllo un potere discrezionale (e non un mero arbitrio) ispirato in primis al principio di gradualità del potere sanzionatorio che si esprime in una serie effettiva di strumenti alternativi alla sanzione pecuniaria ma tutti tesi al rispetto della normativa; tra questi si ricorda ad esempio gli ammonimenti e gli ordini di conformità.
La Corte poi, con la propria pronuncia, chiarisce che, secondo la normativa europea, le autorità di controllo non hanno come scopo principale quello di sanzionare, bensì di controllare che l’operato del Titolare del trattamento sia conforme ai principi GDPR. In altri termini l’Autorità vigila sui comportamenti del titolare che devono essere ispirati al principio di accountability. In tal senso il principio di responsabilizzazione permea non solo l'attività di gestione dell’aspetto del trattamento del dato all’interno della propria realtà, ma anche la sua capacità di reazione alla criticità che si trova ad affrontare, nonché nella dimostrazione a posteriori dell’iter decisionale assunto per arrivare a determinate conclusioni.
La sentenza sottolinea quindi che l’articolo 58, paragrafo 2, del GDPR non impone un generale obbligo di adottare in ogni caso una misura correttiva, ma richiede una analisi approfondita, caso per caso, e quando emergono elementi che evidenziano un responsabile atteggiamento di risoluzione delle criticità, la discrezionalità dell’Autorità può condurre, legittimamente, anche ad un provvedimento non sanzionatorio che deve essere comunque proporzionato alla gravità della violazione e alla necessità di assicurare il rispetto del GDPR . In altre parole, l’intervento delle autorità deve essere proporzionato.
Implicazioni della sentenza
Questa decisione della CGUE ha importanti implicazioni sia per le autorità di controllo nazionali che per i titolari del trattamento dei dati. Intanto è utile ricordare che il rinvio pregiudiziale è uno strumento che consente ai giudici degli Stati membri, nell'ambito di una controversia della quale sono investiti, di interpellare la Corte in merito all’interpretazione del diritto dell’Unione o alla validità di un atto dell’Unione. La Corte, pertanto, non dovrà risolvere la controversia nazionale, incombenza che, al contrario, spetterà al giudice nazionale, e lo dovrà fare in modo conforme alla decisione della Corte. Il principio interpretativo diverrà poi egualmente vincolante per gli altri giudici nazionali.
In tal senso le linee guida 4/2022 avevano già posto l’accento sulla gradualità.
Non di secondaria importanza, è la sottolineatura circa il ruolo dell’Autorità. L'Autorità funziona da presidio della normativa, la sua prerogativa non è sanzionare ma vigilare, e il corretto e logico contrappeso è sicuramente l’esercizio del principio di accountability da parte del titolare che ancora una volta emerge come nucleo fondamentale della disciplina.
Tuttavia, la Corte ha anche ribadito che le autorità di controllo devono sempre agire in modo rigoroso per assicurare che i diritti delle persone siano tutelati e che le aziende rispettino le regole sul trattamento dei dati personali, in un implicito rimando ad un potere discrezionale che comunque ha dei binari ben definiti nei quali muoversi.
Conclusione
La sentenza della Corte di Giustizia del 26 settembre 2024 precisa concetti che non sono nuovi agli addetti ai lavori, ma certamente meritavano una puntualizzazione. La Corte precisa che la discrezionalità non è un mero arbitrio, ponendo l’accento sulla centralità della protezione dei diritti e delle libertà dell’individuo che rimane il fondante scopo di questa normativa.
Avv. Diletta Simonetti e Dott.ssa Valentina Prando