La Corte di Giustizia, con sentenza resa nella causa C-46/23 si è espressa sui poteri dell’Autorità garante dei dati personali di uno Stato membro (in Italia il Garante Privacy), chiarendo che può ordinare d’ufficio, ovvero anche in assenza di una previa richiesta dell’interessato presentata a tal fine, la cancellazione di dati trattati illecitamente, se una simile misura sia necessaria per adempiere il suo compito, consistente nel vigilare sul pieno rispetto del GDPR.
Se tale autorità constata che un trattamento di dati non rispetta il GDPR, dovrà porre rimedio alla violazione constatata, e ciò anche senza previa richiesta dell’interessato: infatti, esigere una simile richiesta implicherebbe che il responsabile del trattamento potrebbe, in sua assenza, conservare i dati di cui trattasi e continuare a trattarli illecitamente.
Inoltre, l’autorità di controllo di uno Stato membro potrà ordinare la cancellazione di dati personali trattati illecitamente sia qualora essi provengano direttamente dall’interessato, sia nel caso in cui provengano da un’altra fonte.
La decisione è riferita al caso di un’amministrazione comunale ungherese, che, nel 2020, aveva deciso di aiutare finanziariamente le persone rese più fragili dalla pandemia di Covid-19, e, a tal fine, aveva chiesto all’erario ungherese di fornirle i dati personali necessari alla verifica delle condizioni di ammissibilità per l’ottenimento dell’aiuto.
Avvertita da una segnalazione, l’autorità ungherese incaricata della protezione dei dati aveva constatato una violazione delle norme del GDPR, da parte delle amministrazioni coinvolte, ed a tale titolo, aveva inflitto delle sanzioni pecuniarie ed ordinato alle stesse di cancellare i dati delle persone ammissibili all’aiuto che non avevano richiesto l’aiuto medesimo: in particolare, era stato rilevato che le amministrazioni coinvolte non avevano informato gli interessati, entro il termine di un mese impartito a tal fine, né dell’utilizzo dei loro dati, né della finalità del medesimo, né dei loro diritti in materia di protezione dei dati.
Una delle amministrazioni coinvolte si era tuttavia rivolta alla Corte di Giustizia, ritenendo che l’autorità di controllo non avesse il potere di ordinare la cancellazione dei dati personali senza una previa richiesta presentata a tal fine dall’interessato.
Questo, contrariamente a quanto sostenuto dall’istante, il principio espresso dalla Corte di Giustizia in ordine ai poteri dell’Autorità di controllo (in Italia, il Garante Privacy):
– L’art. 58, paragrafo 2, lettere d) e g), del Regolamento (UE) 2016/679 (GDPR) deve essere interpretato nel senso che l’autorità di controllo di uno Stato membro è legittimata, nell’esercizio del suo potere di adozione delle misure correttive previste da tali disposizioni, a ordinare al titolare del trattamento o al responsabile del trattamento di cancellare dati personali che sono stati trattati illecitamente, e ciò anche qualora l’interessato non abbia presentato a tal fine alcuna richiesta di esercitare i suoi diritti in applicazione dell’art. 17, paragrafo 1, di tale regolamento.
– L’art. 58, paragrafo 2, del GDPR deve essere interpretato nel senso che il potere dell’autorità di controllo di uno Stato membro di ordinare la cancellazione di dati personali, che sono stati trattati illecitamente, può riguardare sia dati raccolti presso l’interessato sia dati provenienti da un’altra fonte.