(Studio legale G.Patrizi, G.Arrigo, G.Dobici)
Protezione dei dati personali. Sentenza della Corte di Giustizia UE, 14 Marzo 2024, nella causa C-46/23, Újpesti Polgármesteri Hivatal.
Protezione dei dati personali: l’autorità di controllo di uno Stato membro può ordinare la cancellazione di dati trattati illecitamente, anche in assenza di una previa richiesta dell’interessato. La cancellazione può riguardare sia i dati raccolti presso tale interessato sia quelli provenienti da un’altra fonte.
1.Nel 2020 l’amministrazione comunale di Újpest (Ungheria) ha deciso di aiutare finanziariamente le persone rese più fragili dalla pandemia di Covid-19.
A tal fine, essa ha chiesto all’erario ungherese e all’ufficio governativo del quarto distretto di Budapest-Capitale di fornirle i dati personali necessari alla verifica delle condizioni di ammissibilità per l’ottenimento dell’aiuto.
Avvertita da una segnalazione, l’autorità ungherese incaricata della protezione dei dati (in prosieguo: l’«autorità di controllo») ha constatato che sia l’amministrazione di Újpest sia l’erario ungherese e l’ufficio governativo avevano violato le norme del RGPD[1].
A tale titolo sono state inflitte sanzioni pecuniarie.
L’autorità di controllo ha rilevato che l’amministrazione di Újpest non ha informato gli interessati, entro il termine di un mese impartito a tal fine, né dell’utilizzo dei loro dati, né della finalità del medesimo, né dei loro diritti in materia di protezione dei dati. Inoltre, essa ha ordinato all’amministrazione di Újpest di cancellare i dati delle persone ammissibili all’aiuto che non avevano richiesto l’aiuto medesimo.
L’amministrazione di Újpest contesta tale decisione dinanzi alla Corte di Budapest-Capitale (Ungheria). Essa ritiene che l’autorità di controllo non abbia il potere di ordinare la cancellazione dei dati personali in assenza di una previa richiesta presentata a tal fine dall’interessato.
La Corte ungherese chiede alla Corte di giustizia di interpretare il RGPD.
2.Nella sua sentenza, la Corte di giustizia risponde che l’autorità di controllo di uno Stato membro può ordinare d’ufficio, vale a dire anche in assenza di una previa richiesta dell’interessato presentata a tal fine, la cancellazione di dati trattati illecitamente se una simile misura è necessaria per adempiere il suo compito consistente nel vigilare sul pieno rispetto del RGPD. Se tale autorità constata che un trattamento di dati non rispetta il RGPD, essa deve porre rimedio alla violazione constatata, e ciò anche senza previa richiesta dell’interessato. Infatti, esigere una simile richiesta farebbe sì che il responsabile del trattamento potrebbe, in assenza di richiesta, conservare i dati di cui trattasi e continuare a trattarli illecitamente.
Inoltre, l’autorità di controllo di uno Stato membro può ordinare la cancellazione di dati personali trattati illecitamente sia qualora essi provengano direttamente dall’interessato sia nel caso in cui provengano da un’altra fonte.
[1] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (regolamento generale sulla protezione dei dati).
Commenti recenti