Argomenti

Il Garante Privacy può ordinare d'ufficio la cancellazione dei dati

Pubblicato il

Il Garante Privacy può ordinare d'ufficio la cancellazione dei dati

Il Garante Privacy può ordinare d'ufficio, anche senza richiesta dell'interessato, la cancellazione di dati trattati illecitamente.

Questo, laddove la misura della cancellazione risulti necessaria per adempiere il compito dell'Autorità di controllo di vigilare sul pieno rispetto del Regolamento generale sulla protezione dei dati personali (RGPD o GDPR).

Se, quindi, l'Autorità nazionale incaricata della protezione dei dati rileva che un trattamento non rispetta il RGPD, essa deve porre rimedio alla violazione constatata, e ciò anche in assenza di una previa richiesta dell'interessato.

Del resto, l'esigere una simile richiesta comporterebbe la conservazione dei dati di cui trattasi da parte del responsabile nonché il perpetrarsi dell'illecito trattamento dei dati medesimi.

L'ordine di cancellazione di dati personali trattati illecitamente, inoltre, può essere disposto sia nel caso che i medesimi dati provengano direttamente dall'interessato sia nel caso in cui provengano da altre fonti.

Illecito trattamento di dati: la Corte Ue sull'interpretazione del GDPR

I principi sono stati puntualizzati dalla Corte di giustizia dell'Unione europea con sentenza depositata il 14 marzo 2024 relativamente alla causa C‑46/23.

I giudici europei, nella specie, si sono occupati di una domanda di pronuncia pregiudiziale che riguardava l’interpretazione dell’articolo 58, paragrafo 2, lettere c), d) e g), del Regolamento UE 2016/679 sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati.

Il tutto nell’ambito della controversia tra un’amministrazione comunale ungherese e l'Autorità nazionale per la protezione dei dati dell'Ungheria, in merito a una decisione con cui quest’ultima aveva ordinato all’ente locale di cancellare dati personali illecitamente trattati.

Il caso esaminato

La predetta amministrazione, nel 2020, per aiutare finanziariamente le persone rese più fragili dalla pandemia di Covid-19, aveva chiesto all’Erario ungherese e all’Ufficio governativo di fornirle i dati personali necessari alla verifica delle condizioni di ammissibilità per l’ottenimento dell’aiuto.

Il Garante ungherese, a seguito di una segnalazione, aveva rilevato la violazione di norme del RGPD: l’amministrazione, in particolare, non aveva informato gli interessati, entro il termine di un mese, delle categorie di dati personali trattate nell’ambito di tale programma, delle finalità del trattamento in questione, né delle modalità con cui tali interessati potevano esercitare i loro diritti al riguardo.

Per questo motivo, l'Autorità di controllo aveva ordinato la cancellazione dei dati personali degli interessati nonché inflitto, sia all’amministrazione, sia all’erario ungherese, una sanzione pecuniaria a titolo della protezione dei dati. 

L'amministrazione locale aveva quindi convenuto il Garante Privacy dinanzi alla Corte di Budapest, sostenendo che l'autorità di controllo non avesse il potere di ordinare la cancellazione dei dati personali in assenza di una preventiva richiesta presentata a tal fine dall'interessato.

In questa sede, il giudice nazionale si era rivolto alla Corte di giustizia al fine di ottenere chiarimenti in ordine all’interpretazione del RGPD.

L'interpretazione prospettata dalla Corte di giustizia

Ebbene, secondo la Corte di giustizia, il potere di adottare alcune delle misure correttive di cui all’articolo 58, paragrafo 2, del RGPD, può essere esercitato d’ufficio dall’autorità di controllo di uno Stato membro nei limiti in cui l’esercizio d’ufficio di tale potere è richiesto per consentirle di adempiere il suo compito.

L'autorità, pertanto, laddove ritenga, al termine della sua indagine, che tale trattamento non soddisfi i requisiti del regolamento, è tenuta, in applicazione del diritto dell’Unione, ad adottare le misure appropriate al fine di porre rimedio alla violazione constatata.

La stessa può intervenire indipendentemente dall’esistenza di una previa richiesta presentata dall’interessato.

Ma non è tutto. L’esercizio del potere di adottare misure correttive - si legge ancora nella decisione - non può dipendere dal fatto che i dati personali in questione siano stati o meno raccolti direttamente presso l’interessato.

La cancellazione dai dati, quindi, può riguardare sia i dati raccolti presso tale interessato sia quelli provenienti da un'altra fonte.

Privacy, poteri dell’autorità di controllo di uno Stato membro

Questa, in definitiva, l'interpretazione resa dalla Corte Ue:

L’autorità di controllo di uno Stato membro è legittimata, nell’esercizio del suo potere di adozione delle misure correttive previste dalle richiamate disposizioni, a ordinare al titolare del trattamento o al responsabile del trattamento di cancellare dati personali che sono stati trattati illecitamente, e ciò anche qualora l’interessato non abbia presentato a tal fine alcuna richiesta di esercitare i suoi diritti in applicazione dell’articolo 17, paragrafo 1, di tale regolamento.

E a seguire:

Il potere dell’autorità di controllo di uno Stato membro di ordinare la cancellazione di dati personali trattati illecitamente può riguardare sia dati raccolti presso l’interessato sia dati provenienti da un’altra fonte.
Allegati

Ricevi GRATIS la nostra newsletter

Ogni giorno sarai aggiornato con le notizie più importanti, documenti originali, anteprime e anticipazioni, informazioni sui contratti e scadenze.

Richiedila subito