Causa C-768/21
TR
contro
Land Hessen
(domanda di pronuncia pregiudiziale proposta dal Verwaltungsgericht Wiesbaden)
Sentenza della Corte (Prima Sezione) del 26 settembre 2024
«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 57, paragrafo 1, lettere a) e f) – Compiti dell’autorità di controllo – Articolo 58, paragrafo 2 – Misure correttive – Sanzione amministrativa pecuniaria – Margine di discrezionalità dell’autorità di controllo – Limiti»
- Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Autorità nazionali di controllo – Poteri – Adozione di misure correttive, comprese le sanzioni amministrative pecuniarie – Discrezionalità – Limiti
Regolamento del Parlamento europeo e del Consiglio 2016/679, considerando 129 e 148 e art. 57, § 1, a) e f), 58, § 1 e 2, 77, § 1, e 83]
(v. punti 33, 37-47, 50 e disp.)
- Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Mezzi di ricorso – Ricorso giurisdizionale contro una decisione su reclamo adottata da un’autorità di controllo – Sindacato giurisdizionale – Portata – Limiti – Assenza
(Regolamento del Parlamento europeo e del Consiglio 2016/679, art. 58, § 2, e 78)
(v. punto 49)
Sintesi
Adita in via pregiudiziale dal Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden, Germania), la Corte si pronuncia sul margine di discrezionalità di cui un’autorità di controllo dispone ai fini dell’adozione, in caso di violazione accertata delle disposizioni relative alla protezione dei dati personali, di misure correttive, comprendenti, tra l’altro, una sanzione amministrativa pecuniaria.
Una dipendente della Cassa di risparmio, ente comunale di diritto pubblico che svolge in particolare, operazioni bancarie e creditizie, aveva consultato in diverse occasioni, senza esservi autorizzata, i dati personali di TR, uno dei clienti di tale ente. Dopo essere venuto incidentalmente a conoscenza di tale consultazione, TR ha presentato un reclamo all’autorità di controllo competente, ossia lo Hessischer Beauftragte für Datenschutz und Informationsfreiheit (commissario per la protezione dei dati e la libertà d’informazione per il Land Assia, Germania) (in prosieguo: lo «HBDI»). In tale reclamo egli ha denunciato il fatto che la Cassa di risparmio aveva omesso di comunicargli la violazione dei suoi dati personali.
Con decisione del 3 settembre 2020, lo HBDI ha informato TR che, non comunicandogli la violazione dei suoi dati personali, la Cassa di risparmio non ha violato il RGPD ( 1 ), poiché tale violazione non era suscettibile di presentare un rischio elevato per i diritti e le libertà di TR. Inoltre, lo HBDI ha ritenuto che non occorresse adottare, nei confronti di tale ente, misure correttive.
TR ha proposto ricorso avverso tale decisione dinanzi al giudice del rinvio, chiedendogli di ingiungere allo HBDI di intervenire nei confronti della Cassa di risparmio. A sostegno del suo ricorso, egli ha fatto valere, in particolare, che lo HBDI non aveva trattato il suo reclamo come prescritto dal RGPD e che lo HBDI avrebbe dovuto infliggere una sanzione pecuniaria alla Cassa di risparmio.
Nutrendo dubbi quanto all’obbligo per tale autorità di controllo di adottare misure correttive nel caso di specie, il giudice del rinvio ha interrogato la Corte sull’interpretazione del RGPD ( 2 ).
Giudizio della Corte
Anzitutto, la Corte sottolinea che il RGPD lascia all’autorità di controllo un margine di discrezionalità quanto al modo in cui essa deve porre rimedio all’inadeguatezza constatata, poiché tale regolamento conferisce a tale autorità il potere di adottare diverse misure correttive ( 3 ). Infatti, la scelta del mezzo appropriato e necessario spetta all’autorità di controllo, che deve prendere in considerazione tutte le circostanze del caso concreto ed assolvere al suo compito di vigilare sul pieno rispetto del RGPD con tutta la diligenza richiesta ( 4 ). Tale potere discrezionale è tuttavia limitato dalla necessità di garantire un livello coerente ed elevato di protezione dei dati personali mediante un’applicazione rigorosa delle norme.
Inoltre, per quanto riguarda, più in particolare, le sanzioni amministrative pecuniarie ( 5 ), la Corte rileva che queste ultime sono inflitte in funzione delle circostanze di ogni singolo caso, in aggiunta o in luogo delle altre misure correttive. Inoltre, al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa, l’autorità di controllo in ogni singolo caso tiene debitamente conto di diversi elementi, quali la natura, la gravità e la durata della violazione ( 6 ).
Pertanto, il sistema di sanzioni previsto dal legislatore dell’Unione consente alle autorità di controllo di imporre le sanzioni più appropriate e giustificate a seconda delle circostanze di ciascun caso, prendendo in considerazione la necessità di garantire il pieno rispetto del RGPD, nonché di garantire un livello coerente ed elevato di protezione dei dati personali. Di conseguenza, non si può dedurre dal RGPD l’esistenza di un obbligo per l’autorità di controllo di adottare, in tutti i casi in cui riscontri una violazione dei dati personali, una misura correttiva, in particolare una sanzione amministrativa pecuniaria, essendo il suo obbligo, in tali circostanze, quello di reagire in modo appropriato al fine di porre rimedio all’inadeguatezza riscontrata. In tali circostanze, l’autore di un reclamo i cui diritti siano stati violati non dispone di un diritto soggettivo all’imposizione, da parte dell’autorità di controllo, di una sanzione amministrativa pecuniaria al titolare del trattamento.
Infine, la Corte precisa che, tuttavia, l’autorità di controllo è tenuta ad intervenire qualora l’adozione di una o più delle misure correttive sia, tenuto conto delle circostanze di ciascun singolo caso, appropriata, necessaria e proporzionata al fine di porre rimedio all’inadeguatezza constatata e assicurare la conformità al RGDP. A tal riguardo, non è escluso che, in via eccezionale e tenuto conto delle circostanze particolari del caso concreto, l’autorità di controllo possa omettere di adottare una misura correttiva nonostante sia stata constatata una violazione di dati personali Ciò potrebbe verificarsi, in particolare, qualora la violazione constatata non sia persistita, ad esempio qualora il titolare del trattamento, che aveva, in linea di principio, attuato misure tecniche e organizzative adeguate ( 7 ), abbia adottato, non appena sia venuto a conoscenza di tale violazione, le misure appropriate e necessarie affinché detta violazione cessasse e non si ripeta, tenuto conto degli obblighi ad esso incombenti in forza dell’RGPD ( 8 ).
Alla luce di tali considerazioni, la Corte conclude che, in caso di constatazione di una violazione di dati personali, l’autorità di controllo non è tenuta ad adottare una misura correttiva, in particolare una sanzione amministrativa pecuniaria qualora un siffatto intervento non sia appropriato, necessario o proporzionato al fine di porre rimedio all’inadeguatezza constatata e garantire il pieno rispetto di tale regolamento.
( 1 ) In virtù dell’articolo 34 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).
( 2 ) Articolo 57, paragrafo 1, lettere a) e f), articolo 58, paragrafo 2, e articolo 77, paragrafo 1, del RGPD.
( 3 ) In forza dell’articolo 58, paragrafo 5, del RGPD.
( 4 ) Sentenza del 16 luglio 2020, Facebook Ireland e Schrems (C-311/18, EU:C:2020:559, punto 112).
( 5 ) Di cui all’articolo 58, paragrafo 2, lettera i), e all’articolo 83 del RGPD.
( 6 ) Ai sensi dell’articolo 83, paragrafo 2, del RGPD.
( 7 ) Ai sensi dell’articolo 24 del RGPD.
( 8 ) In particolare, ai sensi dell’articolo 5, paragrafo 2, e dell’articolo 24 del RGPD.
