La sentenza della Corte di Giustizia dell’Unione Europea (CGUE) nella causa C-768/21, pronunciata il 26 settembre 2024, pone un’importante riflessione sui poteri delle autorità garanti in materia di protezione dei dati personali. Il caso esaminato dalla Corte riguarda una violazione del GDPR commessa da una banca tedesca, che ha visto un proprio dipendente accedere senza autorizzazione ai dati personali di un cliente. Sebbene la banca abbia agito tempestivamente adottando misure disciplinari interne, il cliente ha presentato reclamo presso l’Autorità per la protezione dei dati del Land Hessen, chiedendo di imporre una sanzione alla banca.
La Corte di Giustizia ha stabilito un principio fondamentale: l’autorità garante non è obbligata a esercitare un potere correttivo, come l’imposizione di una sanzione, in ogni caso di violazione del GDPR, soprattutto quando il titolare del trattamento ha già adottato le misure necessarie per sanare la violazione e prevenirne il ripetersi. Questo caso rappresenta una chiara dimostrazione del margine di discrezionalità che le autorità di controllo hanno nella gestione delle violazioni del GDPR.
Per l’approfondimento consigliamo anche il corso di formazione “AI ACT e GDPR: come garantire la conformità per imprese e organizzazioni”
Indice
1. Il contesto del caso
Il caso trae origine da un incidente avvenuto in una banca tedesca, dove un dipendente ha consultato i dati personali di un cliente senza alcuna autorizzazione. In risposta a questo comportamento, la banca ha deciso di non informare il cliente, ritenendo che non vi fosse un rischio elevato per i suoi diritti e libertà. Tuttavia, l’incidente è stato segnalato all’Autorità Garante del Land Hessen, che dopo aver condotto un’indagine, ha deciso di non imporre sanzioni, ritenendo che le misure correttive interne adottate dalla banca fossero sufficienti a porre rimedio alla violazione.
Il cliente, insoddisfatto della decisione, ha avviato un’azione legale chiedendo che l’Autorità Garante imponesse una multa alla banca. Il tribunale tedesco, chiamato a decidere, ha sollevato una questione pregiudiziale dinanzi alla CGUE, chiedendo se le autorità di protezione dei dati fossero obbligate ad agire in tutti i casi di violazione, e in particolare se fossero tenute a imporre una multa. Potrebbero interessarti anche: GDPR e intelligenza artificiale: il rapporto della task force europea su ChatGPT
2. La decisione della Corte
La Corte di Giustizia ha risposto chiaramente: non esiste un obbligo per le autorità di protezione dei dati di esercitare un potere correttivo in ogni situazione di violazione del GDPR. La decisione di intervenire deve essere presa in base alla valutazione delle circostanze specifiche del caso. In particolare, quando il titolare del trattamento ha adottato tempestivamente misure adeguate per correggere la violazione e garantire che non si ripeta, l’autorità può ritenere non necessaria l’imposizione di ulteriori sanzioni.
La Corte ha sottolineato che il GDPR lascia alle autorità garanti una certa discrezionalità nel modo in cui devono garantire la conformità al regolamento. Tuttavia, questa discrezionalità è limitata dal dovere di garantire un livello elevato di protezione dei dati personali e un’applicazione rigorosa del GDPR. Spetta quindi al tribunale nazionale verificare se l’Autorità Garante del Land Hessen abbia esercitato la propria discrezionalità nel rispetto di tali limiti.
3. Un’analisi critica: discrezionalità dei Garanti e applicazione del GDPR
La sentenza della Corte di Giustizia solleva interrogativi importanti sul ruolo delle autorità di controllo e sul grado di discrezionalità che esse possono esercitare nell’applicazione del GDPR. Da un lato, la Corte ha riconosciuto la necessità di lasciare alle autorità la libertà di decidere caso per caso se e come intervenire. Dall’altro, la decisione sottolinea il rischio che una discrezionalità troppo ampia possa portare a disparità nell’applicazione del regolamento tra i vari Stati membri, compromettendo l’obiettivo del GDPR di garantire un’applicazione uniforme in tutta l’Unione Europea.
Uno degli obiettivi principali del GDPR è quello di stabilire un quadro normativo uniforme che assicuri un elevato livello di protezione dei dati personali in tutta l’UE. Tuttavia, il riconoscimento di un ampio margine di discrezionalità alle autorità nazionali potrebbe portare a differenze significative nelle sanzioni e nei rimedi imposti nei diversi Stati membri, creando un clima di incertezza per le aziende e i titolari del trattamento. Ad esempio, una violazione che in un Paese potrebbe non essere sanzionata potrebbe essere punita severamente in un altro, con potenziali effetti distorsivi sul mercato interno.
Inoltre, l’interpretazione della CGUE solleva una questione cruciale sulla funzione deterrente delle sanzioni previste dal GDPR. Le multe amministrative, spesso elevate, sono considerate uno degli strumenti principali per garantire il rispetto delle norme sulla protezione dei dati. Tuttavia, se le autorità di controllo possono decidere di non imporre multe in determinate circostanze, il potere deterrente delle sanzioni potrebbe essere ridotto. Questo potrebbe incoraggiare alcuni titolari del trattamento a considerare le violazioni del GDPR come meno gravi, soprattutto se ritengono che le autorità non imporranno sanzioni qualora essi adottino misure correttive interne.
4. Verso un’applicazione più omogenea del GDPR
La sentenza C-768/21 sottolinea l’importanza di trovare un equilibrio tra discrezionalità e uniformità nell’applicazione del GDPR. Da un lato, è necessario riconoscere che ogni caso di violazione dei dati ha circostanze uniche che richiedono un’analisi approfondita e una risposta su misura. Dall’altro, è essenziale che le autorità garanti agiscano in modo coerente e trasparente, garantendo che le violazioni simili siano trattate allo stesso modo in tutta l’Unione Europea.
Per mitigare i rischi di discrezionalità eccessiva, potrebbe essere utile rafforzare il coordinamento tra le autorità garanti nazionali e l’EDPB (European Data Protection Board). Un maggiore scambio di informazioni e pratiche, unitamente a linee guida più dettagliate sull’applicazione delle sanzioni, potrebbe aiutare a garantire che il GDPR venga applicato in modo più omogeneo in tutta l’UE, senza compromettere il margine di discrezionalità necessario per affrontare casi specifici.
In conclusione, la sentenza C-768/21 rappresenta un importante punto di svolta per riflettere sul ruolo delle autorità di controllo nell’applicazione del GDPR. È cruciale che le autorità continuino a esercitare i propri poteri con rigore e coerenza, promuovendo al contempo una protezione efficace e bilanciata dei diritti dei cittadini europei, anche alla luce delle crescenti sfide legate alla tutela dei dati personali.
Formazione in materia per professionisti
“AI ACT e GDPR: come garantire la conformità per imprese e organizzazioni”
Il percorso formativo è rivolto ai giuristi, alle imprese e a tutti i professionisti coinvolti nei processi con l’obiettivo di approfondire i profili pratici per garantire la conformità all’AI ACT e GDPR alle aziende e organizzazioni che sviluppano o utilizzano sistemi di intelligenza artificiale.
La prima sessione mira a fornire una panoramica generale dell’AI e introdurre i partecipanti ai profili normativi ed etici connessi all’AI ACT.
La seconda sessione si concentra sui profili pratici degli adeguamenti richiesti: gli obblighi di documentazione e trasparenza, il ruolo del DPO e dei responsabili della conformità, la valutazione d’impatto dei sistemi AI (AI Impact Assessment) e la protezione dei dati personali. Durante questa sessione, i partecipanti prenderanno parte a un workshop pratico che prevede la simulazione di una valutazione di conformità.
La terza sessione è dedicata alla sicurezza informatica dei sistemi AI e ai modelli di responsabilità legale in caso di danni da essi causati.
>>>Per info ed iscrizioni<<<
Scrivi un commento
Accedi per poter inserire un commento