L’art. 58, paragrafo 2, lettere d) e g), del Regolamento (UE) 2016/679 (GDPR) deve essere interpretato nel senso che l’autorità di controllo di uno Stato membro è legittimata, nell’esercizio del suo potere di adozione delle misure correttive previste da tali disposizioni, a ordinare al titolare del trattamento o al responsabile del trattamento di cancellare dati personali che sono stati trattati illecitamente, e ciò anche qualora l’interessato non abbia presentato a tal fine alcuna richiesta di esercitare i suoi diritti in applicazione dell’art. 17, paragrafo 1, di tale regolamento.
L’art. 58, paragrafo 2, del GDPR deve essere interpretato nel senso che il potere dell’autorità di controllo di uno Stato membro di ordinare la cancellazione di dati personali, che sono stati trattati illecitamente, può riguardare sia dati raccolti presso l’interessato sia dati provenienti da un’altra fonte”.
Questi i principi espressi dalla Corte di Giustizia dell’Unione Europea con la sentenza nella causa C-46/23 con la quale ha quindi chiarito i poteri dell’Autorità garante dei dati personali di uno Stato membro, confermando che essa può ordinare d’ufficio la cancellazione di dati personali trattati illecitamente, anche in assenza di una richiesta formale dell’interessato. Tale potere è riconosciuto come parte dell’autorità di vigilare sul rispetto del Regolamento Generale sulla Protezione dei Dati (GDPR).
Se un’Autorità di controllo constata quindi una violazione del GDPR in un trattamento di dati, essa ha il compito di porvi rimedio, anche senza una precedente istanza dell’interessato. L’eventuale obbligo di una richiesta preventiva, infatti, potrebbe consentire al titolare del trattamento di conservare e continuare a trattare illegalmente i dati in sua assenza. La Corte ha stabilito che l’Autorità di controllo ha quindi il potere di intervenire direttamente per porre fine a un trattamento illecito di dati personali, che si tratti di dati forniti dall’interessato o provenienti da altre fonti.
Il caso di specie riguarda un’amministrazione comunale ungherese che, nel 2020, aveva deciso di offrire aiuti finanziari a persone vulnerabili a causa della pandemia di Covid-19. A tal fine, l’amministrazione aveva richiesto all’erario ungherese i dati personali necessari per verificare i requisiti di ammissibilità per questi aiuti. Tuttavia, in seguito a una segnalazione, l’autorità ungherese incaricata della protezione dei dati aveva rilevato una violazione delle norme GDPR da parte delle amministrazioni coinvolte, imponendo sanzioni pecuniarie e ordinando la cancellazione dei dati di persone che non avevano richiesto l’aiuto.
L’Autorità ungherese, nello specifico, aveva rilevato che le amministrazioni non avevano informato gli interessati entro il termine di un mese riguardo all’utilizzo dei loro dati, alla finalità del trattamento e ai loro diritti in materia di protezione dei dati. Di fronte a questa decisione, una delle amministrazioni aveva presentato ricorso alla Corte di Giustizia, sostenendo che l’autorità di controllo non avesse il potere di ordinare la cancellazione dei dati personali senza una richiesta formale dell’interessato.
La sentenza della Corte di Giustizia chiarisce definitivamente quindi che l’Autorità garante ha il diritto di intervenire direttamente per correggere violazioni del GDPR, inclusa l’adozione di misure per la cancellazione di dati personali trattati illecitamente, indipendentemente da richieste formali da parte degli interessati.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- La Commissione europea pubblica la seconda relazione sull’applicazione del GDPR - Luglio 26, 2024
- Il punto sul Piano Triennale per l’informatica nella P.A. - Luglio 24, 2024
- AGID pubblica un decalogo per l’uso dell’ intelligenza artificiale nella P.A. italiana - Luglio 23, 2024
- Pubblicata la strategia Italiana per l’uso dell’intelligenza artificiale 2024-2026 - Luglio 23, 2024
- Il messaggio di posta elettronica sottoscritto con firma “semplice” fa piena prova del patto aggiunto al contratto - Luglio 17, 2024
