In data 14 marzo 2024, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-46/23, Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala contro Nemzeti Adatvédelmi és Információszabadság Hatóság, sull’interpretazione dell’articolo 58, paragrafo 2, lettere c), d) e g), del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di una controversia tra la Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala(amministrazione municipale di Újpest – quarta circoscrizione di Budapest-Capitale) e la Nemzeti Adatvédelmi és Információszabadság Hatóság (autorità nazionale ungherese per la protezione dei dati e la libertà dell’informazione) in merito ad una decisione con cui quest’ultima aveva ordinato all’amministrazione di Újpest di cancellare dati personali che erano stati trattati illecitamente.
Questi i fatti.
Avendo deciso di fornire un aiuto finanziario ai residenti che appartenevano ad una categoria di persone rese più fragili dalla pandemia di coronavirus e che soddisfacevano determinate condizioni di ammissibilità, l’amministrazione di Újpest si era rivolta al Magyar Államkincstár (erario ungherese) e al Budapest Főváros Kormányhivatala IV. Kerületi Hivatala (ufficio governativo del quarto distretto di Budapest-Capitale) al fine di ottenere i dati personali necessari alla verifica di queste ultime, che erano stati successivamente aggregati in una banca dati concepita ai fini dell’attuazione del suo programma di aiuti. A seguito di un’indagine, tuttavia, l’autorità ungherese di controllo aveva constatato che l’amministrazione di Újpest non aveva informato gli interessati, entro il termine di un mese, delle categorie di dati personali trattate nell’ambito di tale programma, delle finalità del trattamento nonché delle modalità con cui essi potevano esercitare i loro diritti al riguardo, ordinandole di cancellare i dati in questione e infliggendole una sanzione pecuniaria. Di conseguenza, l’amministrazione di Újpest si era rivolta alla Fővárosi Törvényszék (Corte di Budapest-Capitale; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia due questioni pregiudiziali.
Con la prima questione, il giudice del rinvio chiedeva se l’articolo 58, paragrafo 2, lettere c), d) e g)[2], del GDPR debba essere interpretato nel senso che l’autorità di controllo di uno Stato Membro è legittimata, nell’esercizio del suo potere di adozione delle misure correttive previste da tali disposizioni, ad ordinare al titolare o al responsabile del trattamento di cancellare dati personali che sono stati trattati illecitamente, e ciò anche qualora l’interessato non abbia presentato a tal fine alcuna richiesta di esercitare i suoi diritti in applicazione dell’articolo 17, paragrafo 1[3], di tale regolamento.
La Corte ha preliminarmente ricordato che qualora un trattamento di dati personali non soddisfi i principi previsti dall’articolo 5[4] del GDPR, le autorità di controllo degli Stati Membri sono autorizzate ad intervenire conformemente ai loro compiti e poteri, che comprendono, tra gli altri, quello di sorvegliare e assicurare l’applicazione di tale regolamento[5]. Più particolarmente, qualora un’autorità nazionale di controllo ritenga, al termine della sua indagine, che l’interessato non gode di un livello di protezione adeguato, è tenuta, in applicazione del diritto dell’Unione, a reagire in modo appropriato al fine di porre rimedio all’inadeguatezza constatata, indipendentemente dalla sua origine o natura[6].
A tale riguardo, benché la scelta del mezzo appropriato e necessario spetti all’autorità di controllo, che deve decidere prendendo in considerazione tutte le circostanze del caso concreto, essa è comunque tenuta ad assolvere al suo compito di vigilare sul pieno rispetto del GDPR con tutta la diligenza richiesta[7]. Di conseguenza, è particolarmente importante che tale autorità disponga dei poteri effettivi al fine di agire efficacemente contro le violazioni di tale regolamento e, in particolare, di porvi fine, anche nei casi in cui gli interessati non siano informati del trattamento dei loro dati personali, non ne siano a conoscenza o non ne abbiano chiesto la cancellazione. Il potere di adottare le misure correttive di cui all’articolo 58, paragrafo 2, lettere d) e g), del GDPR, pertanto, può essere esercitato d’ufficio dall’autorità di controllo di uno Stato Membro nei limiti in cui ciò è richiesto per consentirle di adempiere il suo compito.
Con la seconda questione, invece, il giudice del rinvio chiedeva se l’articolo 58, paragrafo 2, del GDPR debba essere interpretato nel senso che il potere dell’autorità di controllo di uno Stato Membro di ordinare la cancellazione di dati personali che sono stati trattati illecitamente può riguardare sia dati raccolti presso l’interessato sia dati provenienti da un’altra fonte.
Secondo la Corte, tuttavia, il tenore letterale dell’articolo 58, paragrafo 2, del GDPR non contiene alcuna indicazione in merito al fatto che il potere dell’autorità di controllo di adottare le misure correttive ivi elencate dipenderebbe dall’origine dei dati in questione e, in particolare, dalla circostanza che essi siano stati raccolti presso l’interessato. Analogamente, la formulazione dell’articolo 17, paragrafo 1, del GDPR, che stabilisce un obbligo autonomo, per il titolare del trattamento, di cancellare i dati personali che sono stati trattati illecitamente, non include alcun requisito relativo all’origine degli stessi.
Tutto ciò premesso, la Corte ha pertanto statuito che:
“L’articolo 58, paragrafo 2, lettere d) e g), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che l’autorità di controllo di uno Stato membro è legittimata, nell’esercizio del suo potere di adozione delle misure correttive previste da tali disposizioni, a ordinare al titolare del trattamento o al responsabile del trattamento di cancellare dati personali che sono stati trattati illecitamente, e ciò anche qualora l’interessato non abbia presentato a tal fine alcuna richiesta di esercitare i suoi diritti in applicazione dell’articolo 17, paragrafo 1, di tale regolamento.
L’articolo 58, paragrafo 2, del regolamento 2016/679 deve essere interpretato nel senso che il potere dell’autorità di controllo di uno Stato membro di ordinare la cancellazione di dati personali che sono stati trattati illecitamente può riguardare sia dati raccolti presso l’interessato sia dati provenienti da un’altra fonte”.
[1] GUUE L 119 del 04.05.2016.
[2] L’articolo 58 GDPR, intitolato “Poteri”, al paragrafo 2 dispone: “… Ogni autorità di controllo ha tutti i poteri correttivi seguenti:
a) rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento;
b) rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente regolamento;
c) ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i diritti loro derivanti dal presente regolamento;
d) ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine;
e) ingiungere al titolare del trattamento di comunicare all’interessato una violazione dei dati personali;
f) imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento; g) ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento a norma degli articoli 16, 17 e 18 e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali ai sensi dell’articolo 17, paragrafo 2, e dell’articolo 19;
h) revocare la certificazione o ingiungere all’organismo di certificazione di ritirare la certificazione rilasciata a norma degli articoli 42 e 43, oppure ingiungere all’organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti;
i) infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso; e
j) ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale…”.
[3] L’articolo 17 GDPR, intitolato “Diritto alla cancellazione («diritto all’oblio»)”, al paragrafo 1 dispone: “… L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
b) l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
c) l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;
d) i dati personali sono stati trattati illecitamente;
e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1…”.
[4] L’articolo 5 GDPR, intitolato “Principi applicabili al trattamento di dati personali”, dispone: “… I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)…”.
[5] CGUE 16.07.2020, Causa C‑311/18, Facebook Ireland e Schrems, punto 108.
[6] Ibidem, punti 111-112.
[7] Ibidem, punto 112.