CGUE: poteri dell’autorità nazionale per i dati illeciti

Chiara Schena 15/03/24
Scarica PDF Stampa Allegati


Secondo la CGUE, le autorità di controllo nazionali hanno assunto impattante nell’applicazione del Regolamento Generale sulla Protezione dei Dati (GDPR).  In data 14 marzo 2024, la Corte si è occupata di una vicenda emersa in tale ambito riguardante la capacità di queste autorità di ordinare la cancellazione dei dati trattati illecitamente anche in assenza di una richiesta formale da parte dell’interessato.
Per approfondimenti si consiglia il seguente volume il quale tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse: Formulario commentato della privacy.
Per un commento accurato alla specifica sentenza e il testo completo, consigliamo l’articolo Dati personali trattati illecitamente e poteri dell’autorità di controllo: analisi della CGUE.

Comunicato stampa CGUE- Sent. (C/46-23) del 14-03-2024

Indice

1. Fatti di causa


La sentenza C/46-23 del 14 marzo 2024, ha coinvolto l’interpretazione conforme di norme presenti all’interno del GDPR (nella specie artt. 17 e 58 GDPR). Al centro vi era una richiesta di un’amministrazione di una circoscrizione ungherese, che aveva chiesto la cancellazione di dati personali gestiti impropriamente. Il caso è emerso in seguito a un’indagine avviata dall’autorità nazionale ungherese per la protezione dei dati, che ha rivelato violazioni del GDPR legate alla gestione dei dati personali di cittadini interessati da un programma di aiuti finanziari per la gestione del COVID-19.
La Corte costituzionale ungherese, confermando la decisione dell’autorità di controllo, ha evidenziato che tale autorità ha il diritto di agire d’ufficio per la cancellazione dei dati personali trattati illegalmente.

2. Protezione dei dati e GDPR


Il GDPR stabilisce come fondamento il diritto alla protezione dei dati personali, riconosciuto dalla Carta dei diritti fondamentali dell’Unione europea e dal TFUE. Questa normativa mira a garantire un’adeguata protezione dei dati personali all’interno di tutti gli Stati membri, fornendo alle autorità di controllo poteri efficaci di sorveglianza e di rispetto delle norme.

Per approfondimenti si consiglia il seguente volume il quale tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse:

Volume consigliato

FORMATO CARTACEO

Formulario commentato della privacy

Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.

A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022

3. Poteri dell’autorità di controllo


Le autorità di controllo hanno il compito di assicurare che il trattamento dei dati personali avvenga in modo lecito, corretto e trasparente. Hanno, altresì, il potere di adottare misure correttive nei confronti di trattamenti illeciti, inclusa la cancellazione dei dati personali. I giudici di Lussemburgo hanno riconosciuto che, pur non essendo richiesta una specifica sollecitazione da parte dell’interessato, l’autorità di controllo può intervenire d’ufficio per garantire la conformità al GDPR.

Potrebbero interessarti anche:

4. Principio di diritto della CGUE

 
Questa sentenza evidenzia  come il GDPR sia stato concepito per garantire un elevato livello di protezione dei dati personali e per ripristinare situazioni di violazione delle norme in modo da renderle conformi al diritto UE.
I giudici europei hanno pertanto chiarito che:
1) L’art. 58, par. 2, lettere d) e g), del Regolamento europeo 2016/679, deve essere interpretato nel senso che l’autorità di controllo di uno Stato membro è legittimata, nell’esercizio del suo potere di adozione delle misure correttive previste da tali disposizioni, a ordinare al titolare del trattamento o al responsabile del trattamento di cancellare dati personali che sono stati trattati illecitamente, e ciò anche qualora l’interessato non abbia presentato a tal fine alcuna richiesta di esercitare i suoi diritti in applicazione dell’articolo 17, paragrafo 1, di tale regolamento.
2) L’art. 58, par. 2, del regolamento GDPR deve essere interpretato nel senso che il potere dell’autorità di controllo di uno Stato membro di ordinare la cancellazione di dati personali che sono stati trattati illecitamente può riguardare sia dati raccolti presso l’interessato sia dati provenienti da altre fonti.

5. Conclusioni


La decisione della CGUE ha confermato la capacità delle autorità di controllo di agire nella protezione dei dati personali. Questo potere d’intervento può avvenire anche senza una richiesta esplicita dell’interessato.

Chiara Schena

Scrivi un commento

Accedi per poter inserire un commento