La Corte di Giustizia dell’Unione Europea ha reso pubbliche le Conclusioni dell’Avvocato Generale Priit Pikamäe nel procedimento C-768/21, riguardante la tutela dei dati personali e, nello specifico, gli obblighi dell’autorità di controllo (in Italia, il Garante per la protezione dei dati personali) nel caso in cui venga rilevata una violazione del GDPR durante la valutazione di un reclamo.
L’Avvocato Generale è del parere che l’autorità di controllo sia tenuta ad intervenire quando, durante l’esame di un reclamo, riscontri una violazione dei dati personali. In particolare, dovrebbe individuare e applicare le misure correttive necessarie per porre rimedio alla violazione e tutelare i diritti della persona interessata.
Il GDPR conferisce all’autorità di controllo una certa discrezionalità, ma impone che le misure adottate siano adeguate, necessarie e proporzionate. Questo comporta, da un lato, una limitazione del potere discrezionale nella scelta delle misure correttive quando la protezione dei dati richiede azioni specifiche, mentre, dall’altro lato, consente all’autorità di controllo di evitare le misure elencate nel GDPR se le circostanze del caso specifico lo giustificano.
Ad esempio, ciò potrebbe verificarsi se il titolare del trattamento adotta autonomamente misure correttive. Tuttavia, la persona interessata non ha il diritto di esigere l’adozione di una misura specifica, incluso l’uso di sanzioni amministrative pecuniarie.
Nel caso di specie, un cliente di una banca aveva presentato un reclamo all’Autorità garante per la protezione dei dati del proprio Paese a causa di una violazione dei suoi dati personali, dovuta al fatto che un’impiegata della banca aveva consultato ripetutamente i suoi dati senza autorizzazione. L’Autorità ha riconosciuto la violazione ma ha ritenuto che non fosse necessario intervenire nei confronti della banca, che aveva già adottato misure disciplinari contro l’impiegata in questione.
Il cliente ha quindi presentato un ricorso davanti a un giudice del proprio paese, chiedendo di ordinare all’Autorità di intervenire contro la banca e sostenendo che il commissario avrebbe dovuto imporre sanzioni pecuniarie alla banca stessa.
Le conclusioni dell’Avvocato Generale, come detto, avallano la posizione del cliente. Staremo a vedere non appena verrà emanata la decisione della Corte.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Verso una regolamentazione consapevole: analisi del Codice di Buone Pratiche sull’intelligenza artificiale generale - Novembre 15, 2024
- L’armonizzazione degli standard per l’AI Act: verso una conformità normativa sicura e affidabile - Ottobre 31, 2024
- Consultazione della Commissione Europea sull’accesso ai dati delle piattaforme - Ottobre 29, 2024
- Sanzione del Garante Privacy a Postel S.p.A.: prevenzione e corretta segnalazione della violazione in caso di data breach - Ottobre 23, 2024
- Sul valore probatorio delle firme elettroniche nel processo - Ottobre 18, 2024
