Secondo la CGUE, le autorità di controllo nazionali hanno assunto impattante nell’applicazione del Regolamento Generale sulla Protezione dei Dati (GDPR). In data 14 marzo 2024, la Corte si è occupata di una vicenda emersa in tale ambito riguardante la capacità di queste autorità di ordinare la cancellazione dei dati trattati illecitamente anche in assenza di una richiesta formale da parte dell’interessato.
Per approfondimenti si consiglia il seguente volume il quale tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse: Formulario commentato della privacy.
Per un commento accurato alla specifica sentenza e il testo completo, consigliamo l’articolo Dati personali trattati illecitamente e poteri dell’autorità di controllo: analisi della CGUE.
Indice
1. Fatti di causa
La sentenza C/46-23 del 14 marzo 2024, ha coinvolto l’interpretazione conforme di norme presenti all’interno del GDPR (nella specie artt. 17 e 58 GDPR). Al centro vi era una richiesta di un’amministrazione di una circoscrizione ungherese, che aveva chiesto la cancellazione di dati personali gestiti impropriamente. Il caso è emerso in seguito a un’indagine avviata dall’autorità nazionale ungherese per la protezione dei dati, che ha rivelato violazioni del GDPR legate alla gestione dei dati personali di cittadini interessati da un programma di aiuti finanziari per la gestione del COVID-19.
La Corte costituzionale ungherese, confermando la decisione dell’autorità di controllo, ha evidenziato che tale autorità ha il diritto di agire d’ufficio per la cancellazione dei dati personali trattati illegalmente.
2. Protezione dei dati e GDPR
Il GDPR stabilisce come fondamento il diritto alla protezione dei dati personali, riconosciuto dalla Carta dei diritti fondamentali dell’Unione europea e dal TFUE. Questa normativa mira a garantire un’adeguata protezione dei dati personali all’interno di tutti gli Stati membri, fornendo alle autorità di controllo poteri efficaci di sorveglianza e di rispetto delle norme.
Per approfondimenti si consiglia il seguente volume il quale tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse:
3. Poteri dell’autorità di controllo
Le autorità di controllo hanno il compito di assicurare che il trattamento dei dati personali avvenga in modo lecito, corretto e trasparente. Hanno, altresì, il potere di adottare misure correttive nei confronti di trattamenti illeciti, inclusa la cancellazione dei dati personali. I giudici di Lussemburgo hanno riconosciuto che, pur non essendo richiesta una specifica sollecitazione da parte dell’interessato, l’autorità di controllo può intervenire d’ufficio per garantire la conformità al GDPR.
Potrebbero interessarti anche:
4. Principio di diritto della CGUE
Questa sentenza evidenzia come il GDPR sia stato concepito per garantire un elevato livello di protezione dei dati personali e per ripristinare situazioni di violazione delle norme in modo da renderle conformi al diritto UE.
I giudici europei hanno pertanto chiarito che:
1) L’art. 58, par. 2, lettere d) e g), del Regolamento europeo 2016/679, deve essere interpretato nel senso che l’autorità di controllo di uno Stato membro è legittimata, nell’esercizio del suo potere di adozione delle misure correttive previste da tali disposizioni, a ordinare al titolare del trattamento o al responsabile del trattamento di cancellare dati personali che sono stati trattati illecitamente, e ciò anche qualora l’interessato non abbia presentato a tal fine alcuna richiesta di esercitare i suoi diritti in applicazione dell’articolo 17, paragrafo 1, di tale regolamento.
2) L’art. 58, par. 2, del regolamento GDPR deve essere interpretato nel senso che il potere dell’autorità di controllo di uno Stato membro di ordinare la cancellazione di dati personali che sono stati trattati illecitamente può riguardare sia dati raccolti presso l’interessato sia dati provenienti da altre fonti.
5. Conclusioni
La decisione della CGUE ha confermato la capacità delle autorità di controllo di agire nella protezione dei dati personali. Questo potere d’intervento può avvenire anche senza una richiesta esplicita dell’interessato.
Scrivi un commento
Accedi per poter inserire un commento