Protezione dei dati personali: l'autorità di controllo può ordinare la cancellazione di dati trattati illecitamente

Nella sentenza del 14 marzo 2024 alla causa n. C-46/23, la Corte di Giustizia UE risponde che l'autorità di controllo di uno Stato membro può ordinare d'ufficio, vale a dire anche in assenza di una previa richiesta dell'interessato presentata a tal fine, la cancellazione di dati trattati illecitamente se una simile misura è necessaria per adempiere il suo compito consistente nel vigilare sul pieno rispetto del RGPD. Se tale autorità constata che un trattamento di dati non rispetta il RGPD, essa deve porre rimedio alla violazione constatata, e ciò anche senza previa richiesta dell'interessato.

La Corte di Giustizia UE è stata chiamata a fornire chiarimenti sull’interpretazione dell’articolo 58, paragrafo 2, lettere c), d) e g), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016,relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) in merito a una decisione con cui quest’ultima ha ordinato all’amministrazione pubblica di cancellare i dati personali che sono stati trattati illecitamente. Il caso Nel 2020 l’amministrazione comunale di Újpest (Ungheria) ha deciso di aiutare finanziariamente le persone rese più fragili dalla pandemia di Covid-19. A tal fine, essa ha chiesto all’erario ungherese e all’ufficio governativo del quarto distretto di Budapest-Capitale di fornirle i dati personali necessari alla verifica delle condizioni di ammissibilità per l’ottenimento dell’aiuto. Avvertita da una segnalazione, l'autorità ungherese incaricata della protezione dei dati ha constatato che sia l'amministrazione di Újpest sia l'erario ungherese e l'ufficio governativo avevano violato le norme del RGPD. A tale titolo sono state inflitte sanzioni pecuniarie. L'autorità di controllo ha rilevato che l'amministrazione di Újpest non ha informato gli interessati, entro il termine di un mese impartito a tal fine, né dell’utilizzo dei loro dati, né della finalità del medesimo, né dei loro diritti in materia di protezione dei dati. Inoltre, essa ha ordinato all'amministrazione di Újpest di cancellare i dati delle persone ammissibili all’aiuto che non avevano richiesto l’aiuto medesimo. L'amministrazione di Újpest contesta tale decisione dinanzi alla Corte di Budapest-Capitale (Ungheria). Essa ritiene che l'autorità di controllo non abbia il potere di ordinare la cancellazione dei dati personali in assenza di una previa richiesta presentata a tal fine dall'interessato. La Corte ungherese ha chiesto quindi alla Corte di giustizia di interpretare il RGPD. Sentenza della Corte Nella sentenza del 14 marzo 2024 alla causa n. C-46/23, la Corte di giustizia risponde che l'autorità di controllo di uno Stato membro può ordinare d'ufficio, vale a dire anche in assenza di una previa richiesta dell'interessato presentata a tal fine, la cancellazione di dati trattati illecitamente se una simile misura è necessaria per adempiere il suo compito consistente nel vigilare sul pieno rispetto del RGPD. Se tale autorità constata che un trattamento di dati non rispetta il RGPD, essa deve porre rimedio alla violazione constatata, e ciò anche senza previa richiesta dell'interessato. Infatti, esigere una simile richiesta farebbe sì che il responsabile del trattamento potrebbe, in assenza di richiesta, conservare i dati di cui trattasi e continuare a trattarli illecitamente. Inoltre, l'autorità di controllo di uno Stato membro può ordinare la cancellazione di dati personali trattati illecitamente sia qualora essi provengano direttamente dall'interessato sia nel caso in cui provengano da un'altra fonte. Copyright © - Riproduzione riservata

Corte di Giustizia UE, sentenza 14/03/2024, C-46/23

Fonte: https://www.ipsoa.it/documents/quotidiano/2024/03/15/protezione-dati-personali-autorita-controllo-ordinare-cancellazione-dati-trattati-illecitamente