La Corte di Giustizia dell’Unione Europea (“CGUE”) si è espressa, in una recente sentenza, causa C-46/23 , attribuendo in capo alle Autorità Garanti, il potere di intimare, anche in assenza di richiesta da parte dell’interessato, la cancellazione dei dati oggetto di trattamento illecito.
La vicenda
La vicenda da cui è scaturita la decisione, ha origine nel febbraio del 2020 quando l’amministrazione di Újpest, comune ungherese, ha deliberato l’erogazione un supporto finanziario a beneficio dei “residenti colpiti da una maggiore vulnerabilità a causa della pandemia di COVID-19”. A tal fine, aveva indirizzato una richiesta all’Erario e ad un Ufficio governativo distrettuale per ricevere i dati personali indispensabili per il controllo dei requisiti di eleggibilità ai fini dell’accesso all’assistenza.
I dati raccolti includevano, come evidenziato nella sentenza, “dati identificativi essenziali e i numeri di previdenza sociale” dei richiedenti.
La decisione del Garante privacy ungherese
Risultando che: gli interessati non erano stati informati del trattamento entro il termine di un mese, né della finalità, né dei loro diritti in materia di protezione dei dati.
L’Autorità di controllo ungherese, attivata per mezzo di una segnalazione, si è quindi pronunciata constatando la violazione evidente, da parte di tutte le amministrazioni coinvolte, degli articoli 5, 12 e 14 del GDPR e ordinando d’ufficio la cancellazione dei dati delle persone ammissibili all’aiuto che non avevano richiesto l’aiuto medesimo (trattamento illecito).
L’Amministrazione si è opposta mediante un ricorso in sede giurisdizionale, impugnando la determinazione dell’Autorità, evidenziando che la stessa non possedeva l’autorità per imporre l’eliminazione dei dati personali, data l’assenza di una richiesta da parte dell’interessato, conformemente a quanto previsto dall’articolo 17 del GDPR.
La CGUE sulla cancellazione dei dati personali trattati illecitamente
La CGUE affronta due questioni pregiudiziali:
- In via preliminare, la CGUE, sottolinea l’importanza dei principi di liceità, correttezza e trasparenza nel trattamento dei dati personali, fondamentali per la tutela dell’interessato. Se il trattamento dei dati personali viola questi principi, le Autorità di controllo degli Stati membri hanno il potere di agire di propria iniziativa.
In sostanza, se un’indagine dell’Autorità nazionale rileva che la protezione dei dati di un individuo non sia adeguata, tale Autorità è obbligata a prendere misure adeguate per correggere questa carenza, indipendentemente dalle sue cause.
Questo approccio è supportato dall’articolo 58, paragrafo 2, del GDPR e dal Considerando 129, che mirano a garantire che il trattamento dei dati personali sia conforme al regolamento e che eventuali violazioni siano corrette per allinearsi alle normative dell’Unione Europea, attraverso l’azione delle Autorità di controllo nazionali.
- Con riferimento invece alla raccolta dei dati, la CGUE conferma che la possibilità (a volte necessità) per l’Autorità di controllo di ordinare d’ufficio la cancellazione dei dati trattati illecitamente, riguarda tanto i dati raccolti presso l’interessato, quanto quelli provenienti da altra fonte.
Conclusioni
Dalla pronuncia e dalle argomentazioni della CGUE, quindi, risulta confermata, ancora una volta, la rilevanza dell’approccio sostanziale al Regolamento Generale sulla Protezione dei Dati (GDPR), rispetto a quello meramente formale. Nel caso in esame, emerge chiaramente come la negazione del potere di ordinare la cancellazione d’ufficio, in assenza della richiesta da parte dell’interessato, si traduca effettivamente in un proseguimento del trattamento illecito di dati personali.
Su un argomento simile può essere di interesse il seguente articolo: “Garante emette una sanzione per trattamento illecito di dati sanitari ”.