La Corte di Giustizia dell’Unione Europea (CGUE), con sentenza del 26 settembre 2024 relativa alla causa C-768/21, ha chiarito un aspetto estremamente delicato del Regolamento Generale sulla Protezione dei Dati (Reg. UE 2016/679, c.d. “GDPR”). L’Autorità di controllo, infatti, non è obbligata ad adottare misure correttive o a infliggere sanzioni pecuniarie in tutti i casi di violazione, se non è necessario per porre rimedio alla carenza rilevata e, soprattutto, se il titolare del trattamento ha già intrapreso autonomamente azioni efficaci per porre rimedio alla violazione.
Il contenzioso trae origine da un incidente avvenuto in Germania, dove una dipendente di una Cassa di risparmio aveva più volte consultato, senza autorizzazione, i dati personali di un cliente. La Cassa di risparmio, pur non informando direttamente il cliente, ha agito prontamente: la dipendente aveva confermato per iscritto di non aver copiato, trasmesso o conservato i dati, e l’istituto aveva adottato provvedimenti disciplinari nei suoi confronti. Inoltre, la Cassa di risparmio ha notificato la violazione al Commissario per la protezione dei dati del Land.
Quando il cliente è venuto incidentalmente a conoscenza della violazione, ha presentato un reclamo all’Autorità per la protezione dei dati, chiedendo che venissero adottate misure correttive, incluse sanzioni pecuniarie contro la Cassa di risparmio. Tuttavia, dopo aver sentito l’istituto, il Commissario per la protezione dei dati del Land ha ritenuto che, alla luce delle misure già adottate, non fosse necessario intervenire ulteriormente. Non soddisfatto della decisione dell’Autorità, il cliente ha quindi presentato un ricorso dinanzi al giudice tedesco, chiedendo che fosse ingiunto al Commissario per la protezione dei dati del Land di intervenire contro la Cassa di risparmio. Il giudice tedesco, prima di prendere una decisione, ha deciso di rivolgersi alla Corte di Giustizia dell’Unione Europea per un’interpretazione del GDPR su questo punto, attraverso un rinvio pregiudiziale.
La Corte di Giustizia ha stabilito che, in caso di accertamento di una violazione dei dati personali, l’Autorità di controllo non è tenuta ad adottare una misura correttiva, in particolare a infliggere una sanzione amministrativa, se ciò non è indispensabile per rimediare alla violazione riscontrata e assicurare la piena conformità al GDPR. Questo può accadere, ad esempio, quando il titolare del trattamento, dopo aver appreso della violazione, ha già implementato le misure necessarie affinché l’infrazione cessi e non si ripeta.
La Corte ha quindi sottolineato che il GDPR lascia alle autorità di controllo un margine di discrezionalità su come intervenire per risolvere eventuali inadeguatezze, sebbene questo margine sia limitato dalla necessità di garantire un livello coerente ed elevato di protezione dei dati personali.
