La Corte di Giustizia ha pubblicato le Conclusioni dell’avvocato generale Priit Pikamäe nella causa C-768/21, in materia di protezione dei dati personali, ovvero, in particolare, sugli obblighi di intervento dell’autorità di controllo (in Italia il Garante privacy) qualora rilevi una violazione del GDPR in sede di esame di un reclamo.
L’avvocato generale ritiene che l’autorità di controllo abbia l’obbligo di intervenire quando rileva una violazione dei dati personali in sede di esame di un reclamo: in particolare, dovrebbe determinare le misure correttive più appropriate per porre rimedio alla violazione e per far rispettare i diritti dell’interessato.
Pur lasciando un certo potere discrezionale all’autorità di controllo, il GDPR richiederebbe che tali misure siano appropriate, necessarie e proporzionate.
Ne deriva, da un lato, una limitazione del potere discrezionale nella scelta dei mezzi quando la protezione richiesta può essere garantita solo adottando determinate misure, e dall’altro la possibilità, a determinate condizioni, per l’autorità di controllo di rinunciare alle misure elencate nel GDPR quando ciò sia giustificato dalle circostanze specifiche del singolo caso.
In particolare, ciò potrebbe avvenire nel caso in cui il titolare del trattamento abbia adottato determinate misure di propria iniziativa.
In ogni caso, l’interessato non avrebbe il diritto di esigere l’adozione di una determinata misura, e ciò anche in relazione al regime delle sanzioni amministrative pecuniarie.
Nel caso di specie, infatti, un cliente di una banca aveva chiesto al commissario per la protezione dei dati e la libertà d’informazione del proprio paese di intervenire nei confronti della banca, a causa di una violazione dei suoi dati personali: una delle dipendenti della banca aveva ripetutamente consultato i suoi dati senza esservi autorizzata.
Il commissario per la protezione dei dati aveva riscontrato una violazione della protezione dei dati, ma aveva concluso che non occorresse intervenire nei confronti della banca, che aveva già adottato misure disciplinari nei confronti della dipendente in questione.
Il cliente aveva impugnato tale rifiuto dinanzi a un giudice del proprio paese, chiedendogli di ingiungere al commissario per la protezione dei dati di intervenire nei confronti della banca, sostenendo che il Commissario per la protezione dei dati avrebbe dovuto infliggere sanzioni pecuniarie alla banca.