Nella causa C-768/21 la Corte di giustizia UE si è pronunciata su un tema di fondamentale importanza: la protezione dei dati personali. Secondo la Corte, l’Autorità di controllo non è obbligata ad adottare misure correttive in ogni caso di violazione. In particolare, non è necessario imporre sanzioni pecuniarie se il responsabile del trattamento dei dati ha già adottato di propria iniziativa le misure necessarie per porre rimedio alla situazione.
Il caso specifico
Il caso era stato sollevato in Germania, dove una Cassa di risparmio constatava che una delle sue dipendenti consultava ripetutamente i dati personali di un cliente, senza avere l’autorizzazione necessaria. Tuttavia, la Cassa di risparmio non aveva informato il cliente, poiché il responsabile della protezione dei dati riteneva che per lui non vi fosse un rischio elevato. Solo dopo aver preso provvedimenti disciplinari contro la dipendente, la Cassa notificava la violazione al commissario per la protezione dei dati del Land.
Venuto incidentalmente a conoscenza della violazione, il cliente aveva poi presentato un reclamo al responsabile per la protezione dei dati. Dopo aver ascoltato la Cassa di risparmio, il responsabile informava il cliente che non riteneva necessario adottare misure correttive nei confronti dell’istituto bancario. Insoddisfatto, il cliente proponeva quindi un ricorso dinanzi a un giudice tedesco, chiedendo che il responsabile per la protezione dei dati personali fosse obbligato a intervenire nei confronti della Cassa di risparmio e che le venisse imposta una sanzione pecuniaria.
A questo punto, il giudice tedesco chiedeva alla Corte UE di interpretare il regolamento generale sulla protezione dei dati (General Data Protection Regulation – GDPR) UE 2016/679 al riguardo. La Corte rispondeva che, in caso di accertamento di una violazione di dati personali, “l’autorità di controllo non è tenuta ad adottare una misura correttiva, in particolare l’irrogazione di una sanzione amministrativa, qualora ciò non sia necessario al fine di porre rimedio alla carenza rilevata e garantire il pieno rispetto del GDPR”. Questo potrebbe accadere, ad esempio, se il titolare del trattamento ha già preso le misure necessarie affinché la violazione venga interrotta e non si ripeta.
Il GDPR lascia, quindi, all’Autorità di controllo un margine di discrezionalità nel decidere come intervenire, limitato però dalla necessità di assicurare una protezione coerente ed elevata dei dati personali attraverso un’applicazione rigorosa del regolamento. Spetta, ora, al giudice tedesco valutare se il commissario abbia agito nei limiti previsti dal GDPR.
Il regolamento generale sulla protezione dei dati personali
La protezione dei dati personali è oggi considerata un diritto fondamentale. Nell’era dell’e-commerce, dei social media e dell’online banking, ogni giorno condividiamo sempre più informazioni personali, spesso senza avere un pieno controllo su come vengano diffuse o utilizzate. Proprio per questo, il Regolamento generale sulla protezione dei dati (GDPR) mira a rafforzare e uniformare la tutela della privacy in tutta Europa. Il GDPR che è entrato in vigore nel 2016 e viene applicato dal 2018 ha sostituito la vecchia direttiva 95/46/CE, superando le normative nazionali incompatibili, come il D. Lgs 196/2003 in Italia, per creare un quadro più semplice e coerente.
Ma cosa si intende per dato personale? È qualsiasi informazione che permette di identificare una persona fisica, come nome, indirizzo, numero di documento, indirizzo IP o persino dati bancari. Anche i post sui social network o un semplice codice identificativo rientrano nella categoria di dati personali se permettono di risalire all’identità di una persona. Questi dati, quindi, meritano una protezione adeguata. In alcuni casi, il trattamento dei dati personali è legittimo anche senza il consenso esplicito della persona coinvolta. Ad esempio, quando serve per eseguire un contratto, come nel caso dell’acquisto di un bene o servizio, il venditore può gestire i dati necessari senza richiedere ulteriori consensi. Lo stesso vale quando il trattamento dei dati è richiesto per adempiere a un obbligo di legge o per tutelare interessi legittimi, propri o di terzi. Al di fuori di queste circostanze, però, il consenso dell’interessato è imprescindibile e deve essere libero, chiaro e informato. Non è ammesso il silenzio-assenso, e il consenso deve essere espresso in modo distinto da altre dichiarazioni.
Una delle principali novità introdotte dal GDPR è la figura del responsabile della protezione dei dati (Data Protection Officer – DPO), il cui compito è garantire che le organizzazioni rispettino le normative sulla protezione dei dati, fungendo da collegamento tra l’azienda e l’Autorità di controllo. Il DPO monitora e fornisce consulenza su come l’organizzazione debba trattare i dati personali in conformità con le leggi sulla privacy, ma non prende decisioni operative riguardanti il trattamento dei dati.
Questo compito è invece affidato al responsabile del trattamento dei dati, che può essere una persona fisica o giuridica, come un’azienda, ente o organizzazione. Il responsabile del trattamento decide come e perché i dati personali vengono trattati. Inoltre, fornisce agli interessati (le persone i cui dati vengono trattati) informazioni chiare sui loro diritti e sulle modalità di trattamento dei dati, adotta misure tecniche e organizzative adeguate per proteggere i dati personali, come la crittografia o altre misure di sicurezza, e risponde ai diritti degli interessati, ad esempio consentendo loro di accedere, correggere o cancellare i propri dati. In sintesi, il DPO ha un ruolo di supervisione e consulenza, mentre il responsabile del trattamento è il soggetto che prende le decisioni operative sul trattamento dei dati.
Un aspetto innovativo introdotto dal GDPR è il diritto all’oblio, che permette di richiedere la cancellazione dei propri dati quando non sono più necessari per le finalità originarie, oppure se il trattamento è stato illecito o il consenso è stato revocato. Questo diritto è particolarmente rilevante quando i dati sono stati resi pubblici, obbligando il titolare a informare tutti gli altri soggetti che gestiscono tali dati, inclusi eventuali link, copie o riproduzioni. Il GDPR ha introdotto anche il diritto alla portabilità, un altro strumento utile per i consumatori che consente di richiedere che i propri dati siano trasferiti da un fornitore all’altro, facilitando, per esempio, il cambio di provider di servizi Internet senza perdere informazioni come email o contatti. Questo agevola una concorrenza più aperta e offre ai consumatori maggiore libertà di scelta.
Infine, in caso di violazione della normativa sulla protezione dei dati, chiunque può rivolgersi al Garante per la protezione dei dati personali, per far valere i propri diritti e ottenere tutela. Il Garante per la protezione dei dati personali è l’Autorità di controllo in Italia, incaricata di vigilare sull’applicazione del GDPR e delle leggi nazionali in materia di privacy. Il suo ruolo comprende diverse funzioni fondamentali, come vigilare e controllare il rispetto delle normative sulla protezione dei dati personali, gestire i reclami presentati da cittadini o imprese in caso di presunte violazioni della privacy, imporre sanzioni in caso di accertate violazioni e fornire linee guida e pareri su questioni riguardanti la protezione dei dati. Il Garante ha anche il potere di intervenire in modo indipendente, assicurando che aziende, enti pubblici e organizzazioni rispettino le normative in vigore. Con l’introduzione del GDPR, l’Europa ha compiuto un significativo passo avanti nella protezione della nostra privacy, adattandosi alle sfide poste dal mondo digitale.
