Sul margine di discrezionalità delle autorità garanti nell’infliggere sanzioni

Posted onAuthorDaniele Giordano

Tempo di lettura stimato:2 Minuti, 45 Secondi

La pronuncia in commento riguarda un rinvio pregiudiziale proposto dal Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden, Germania), che ha sollevato una questione interpretativa in merito all’applicazione del Regolamento (UE) 2016/679 (Regolamento generale sulla protezione dei dati – GDPR). Nello specifico, la Corte di Giustizia è stata chiamata a chiarire se, in caso di violazione dei dati personali, le autorità di controllo nazionali siano sempre obbligate ad adottare una misura correttiva ai sensi dell’articolo 58, paragrafo 2, del GDPR, o se dispongano di un margine di discrezionalità nell’agire.

La vicenda verte su una violazione di dati personali verificatasi presso una cassa di risparmio tedesca, dove una dipendente aveva avuto accesso non autorizzato ai dati di un cliente. Questi ha presentato reclamo all’autorità di controllo del Land Hessen (HBDI), lamentando anche la mancata comunicazione della violazione e la breve durata di conservazione dei registri di accesso.

Il Tribunale amministrativo tedesco ha chiesto alla Corte di chiarire se l’autorità di controllo debba sempre adottare misure correttive in caso di violazione del GDPR, o se possa omettere tali misure in determinate circostanze. La questione nasceva dall’interpretazione degli articoli 57 e 58 del GDPR, che delineano i compiti e i poteri delle autorità di controllo in relazione al trattamento dei reclami e alle misure correttive applicabili.

Il ricorrente sosteneva che l’HBDI avrebbe dovuto sanzionare la Cassa di risparmio per la violazione, mentre l’HBDI ha ritenuto non necessaria alcuna sanzione, in quanto la Cassa aveva adottato misure correttive interne, tra cui sanzioni disciplinari contro la dipendente e un riesame della gestione dei registri di accesso.

La Corte di Giustizia ha stabilito che l’articolo 58, paragrafo 2, del GDPR conferisce alle autorità di controllo un ampio margine di discrezionalità nella scelta delle misure correttive da adottare. Pertanto, anche in caso di violazione accertata, non vi è un obbligo assoluto per l’autorità di adottare sempre una misura correttiva, come una sanzione pecuniaria, se essa non è ritenuta necessaria, appropriata o proporzionata rispetto alle circostanze del caso concreto.

La Corte ha richiamato il principio secondo cui le misure adottate devono essere proporzionate, necessarie e adeguate per ripristinare la conformità con il GDPR. In tal senso, le autorità di controllo hanno il compito di valutare se l’infrazione sia già stata sanata dal titolare del trattamento e se la situazione non presenti un rischio tale da richiedere ulteriori interventi. Tuttavia, l’omissione di adottare misure correttive deve comunque garantire un’applicazione rigorosa e coerente del GDPR, senza compromettere il livello di protezione dei dati.

La Corte ha così enunciato un principio fondamentale:

In caso di constatazione di una violazione di dati personali, l’autorità di controllo non è tenuta ad adottare una misura correttiva, in particolare una sanzione amministrativa pecuniaria, qualora un siffatto intervento non sia appropriato, necessario o proporzionato al fine di porre rimedio all’inadeguatezza constatata e garantire il pieno rispetto di tale regolamento”.

Questa sentenza ha dunque chiarito una volta per tutte (?) il margine di discrezionalità delle autorità di controllo nazionali nell’adottare misure correttive in caso di violazione del GDPR. Dal punto di vista pratico, questo approccio evita certamente un’applicazione eccessivamente rigida delle sanzioni pecuniarie, lasciando margine alle autorità di controllo per considerare soluzioni alternative o misure correttive meno gravose quando la situazione lo consente.