La Corte di Giustizia dell’Unione Europea ha reso pubbliche le Conclusioni dell’Avvocato Generale Priit Pikamäe nel procedimento C-768/21, riguardante la tutela dei dati personali e, nello specifico, gli obblighi dell’autorità di controllo (in Italia, il Garante per la protezione dei dati personali) nel caso in cui venga rilevata una violazione del GDPR durante la valutazione di un reclamo.
L’Avvocato Generale è del parere che l’autorità di controllo sia tenuta ad intervenire quando, durante l’esame di un reclamo, riscontri una violazione dei dati personali. In particolare, dovrebbe individuare e applicare le misure correttive necessarie per porre rimedio alla violazione e tutelare i diritti della persona interessata.
Il GDPR conferisce all’autorità di controllo una certa discrezionalità, ma impone che le misure adottate siano adeguate, necessarie e proporzionate. Questo comporta, da un lato, una limitazione del potere discrezionale nella scelta delle misure correttive quando la protezione dei dati richiede azioni specifiche, mentre, dall’altro lato, consente all’autorità di controllo di evitare le misure elencate nel GDPR se le circostanze del caso specifico lo giustificano.
Ad esempio, ciò potrebbe verificarsi se il titolare del trattamento adotta autonomamente misure correttive. Tuttavia, la persona interessata non ha il diritto di esigere l’adozione di una misura specifica, incluso l’uso di sanzioni amministrative pecuniarie.
Nel caso di specie, un cliente di una banca aveva presentato un reclamo all’Autorità garante per la protezione dei dati del proprio Paese a causa di una violazione dei suoi dati personali, dovuta al fatto che un’impiegata della banca aveva consultato ripetutamente i suoi dati senza autorizzazione. L’Autorità ha riconosciuto la violazione ma ha ritenuto che non fosse necessario intervenire nei confronti della banca, che aveva già adottato misure disciplinari contro l’impiegata in questione.
Il cliente ha quindi presentato un ricorso davanti a un giudice del proprio paese, chiedendo di ordinare all’Autorità di intervenire contro la banca e sostenendo che il commissario avrebbe dovuto imporre sanzioni pecuniarie alla banca stessa.
Le conclusioni dell’Avvocato Generale, come detto, avallano la posizione del cliente. Staremo a vedere non appena verrà emanata la decisione della Corte.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- La Commissione europea pubblica la seconda relazione sull’applicazione del GDPR - Luglio 26, 2024
- Il punto sul Piano Triennale per l’informatica nella P.A. - Luglio 24, 2024
- AGID pubblica un decalogo per l’uso dell’ intelligenza artificiale nella P.A. italiana - Luglio 23, 2024
- Pubblicata la strategia Italiana per l’uso dell’intelligenza artificiale 2024-2026 - Luglio 23, 2024
- Il messaggio di posta elettronica sottoscritto con firma “semplice” fa piena prova del patto aggiunto al contratto - Luglio 17, 2024
