Con la sentenza del 14 marzo 2024, la Corte di Giustizia dell’Unione Europea (CGUE) afferma un principio innovativo: la cancellazione dei dati può avvenire anche d’ufficio.
In altri termini, la CGUE afferma che in caso di trattamento illecito di dati personali l’Autorità Garante nazionale è legittimata, in forza dei poteri conferitegli ex art. 58 GDPR, a ordinare la cancellazione dei dati (ex art. 17), anche in assenza di una rituale, formale istanza dell’interessato.
Ne consegue che il diritto alla cancellazione non solo vale nei confronti dei dati raccolti direttamente dalla persona, ma anche nella misura in cui provengano da altre fonti.
Vediamo in dettaglio.
Indice degli argomenti
Il principio di diritto nella sua portata innovativa
La cancellazione d’ufficio rappresenta in effetti una novità. A stabilirlo è la Corte di Giustizia chiamata a dirimere un paio di questioni pregiudiziali circa un caso che ha riguardato un comune ungherese di Újpest, il quale qualche anno fa (2020) ha commesso delle violazioni in materia di dati personali. Di qui, l’Autorità ungherese per la protezione dei dati ha ordinato la cancellazione dei dati.
Nel merito della vicenda, si trattava di un trattamento illecito in ragione del quale l’Autorità di controllo nazionale non poteva non intimare la cancellazione dei dati illeciti, e ciò al solo fine di garantire il pieno rispetto del GDPR.
Del resto, nel caso Meta l’ordine imposto dalla Commissione irlandese per la protezione dei dati di rendere conforme l’archiviazione dei dati è stato inteso proprio come un ordine di cancellazione dati, quindi non sarebbe il primissimo e isolato caso.
La vicenda che ha portato alla sentenza della CGUE
Vediamo i fatti. La vicenda in questione trae origine nel febbraio 2020 quando l’amministrazione di Újpest, un comune ungherese, aveva deciso di fornire un aiuto finanziario in favore dei “residenti che appartenevano a una categoria di persone rese più fragili dalla pandemia da COVID-19” portatori di talune determinate caratteristiche.
I dati coinvolti comprendevano, come si legge in sentenza, “i dati identificativi di base e i numeri di previdenza sociale” delle persone fisiche richiedenti.
L’Erario ungherese e l’Ufficio governativo comunicavano, per conseguenza i dati richiesti. Dal canto suo, l’Amministrazione citata aggregava i dati ottenuti in una banca dati e creava un “identificativo e un codice a barre” ad hoc per ogni serie di dati. Il tutto senza informare gli interessati, “entro il termine di un mese, delle categorie di dati personali trattate nell’ambito di tale programma, delle finalità del trattamento in questione, né delle modalità con cui tali interessati potevano esercitare i loro diritti al riguardo”.
In palese violazione degli artt. 5 (principi), 12 e 14 (informativa) GDPR.
Di qui, l’ordine da parte dell’Autorità di controllo ungherese, in forza dell’art. 58, paragrafo 2, lettera d) – GDPR, di cancellare d’ufficio i dati personali degli interessati i quali, come si legge in sentenza, “sulla base delle informazioni fornite dall’ufficio governativo e dall’erario ungherese, avrebbero sicuramente avuto diritto a tale aiuto, ma non l’avevano richiesto”. Insomma, un trattamento illegale.
L’Amministrazione resisteva con ricorso giurisdizionale, contestando la decisione del Garante ungherese, rilevando come quest’ultimo non avesse il potere di ordinare la cancellazione dei dati personali, in carenza dell’istanza dell’interessato ai sensi e per gli effetti di cui all’art. 17 GDPR.
In definitiva, il diritto alla cancellazione è azionabile soltanto dall’interessato.
Con la sentenza in parola viene invece sconfessato questo principio affermando che un’Autorità di controllo (privacy) ha “il diritto di ordinare d’ufficio la cancellazione dei dati personali […] trattati illecitamente, anche in assenza di una richiesta presentata dall’interessato”.
Le ragioni in diritto
La CGUE affronta due questioni pregiudiziali. Trattiamole separatamente.
Sui poteri delle singole Autorità di controllo
La CGUE preliminarmente richiama i principi relativi al trattamento dei dati personali e tra cui quelli relativi alla liceità, correttezza e trasparenza nei confronti dell’interessato.
Qualora il trattamento dei dati personali non soddisfi tali principi, ecco che le Autorità di controllo dei singoli Stati membri sono “autorizzate a intervenire” ex officio.
La questione è semplice: se al termine dell’indagine condotta dal Garante nazionale emergesse che l’interessato non goda di un livello di protezione adeguato, ecco che la medesima Autorità di controllo è tenuta a “… reagire in modo appropriato al fine di porre rimedio all’inadeguatezza constatata, e ciò indipendentemente dall’origine o dalla natura di tale inadeguatezza”.
Di qui, le misure correttive che, in forza dei poteri conferitegli ex legge (art. 58, par. 2, lett. d) e g), consentono un intervento d’ufficio da parte dell’Autorità di controllo.
D’altronde, scrivono i giudici “una simile interpretazione è altresì corroborata dall’obiettivo perseguito dall’articolo 58, paragrafo 2, del GDPR, quale risulta dal Considerando 129 di quest’ultimo, vale a dire garantire la conformità del trattamento dei dati personali a tale regolamento nonché il ripristino di situazioni di violazione di quest’ultimo per renderle conformi al diritto dell’Unione, grazie all’intervento delle autorità nazionali di controllo”.
Il tutto al fine di garantire una effettiva e concreta applicazione del GDPR.
Ne consegue, dunque, che l’Autorità di controllo di uno Stato membro è sì legittimata, nell’esercizio del suo pieno potere di adozione delle misure correttive, a ordinare al titolare o al responsabile del trattamento di cancellare i dati personali trattati illecitamente, anche senza impulso di parte/interessato.
Sulla raccolta dei dati
L’altra questione pregiudiziale di cui alla sentenza in parola, tratta la possibilità e talvolta necessità, per l’Autorità di controllo, di ordinare la cancellazione di dati personali illeciti ben potendo riguardare tanto i dati raccolti presso l’interessato, quanto quelli provenienti da altra fonte.
In altri termini, non rilevano per nulla:
- l’origine;
- la provenienza dei dati stessi.
Solo così, sottolinea la CGUE, viene garantita un’applicazione effettiva e coerente del GDPR.
Cancellazione d’ufficio dei dati, cosa impariamo
Da questa sentenza, dunque, impariamo ancora una volta l’importanza di doverci approcciare al GDPR in modo sostanziale più che formale; e nel caso di specie si comprende bene come negare un potere di ufficio, vorrebbe dire in concreto, nelle more della richiesta dell’interessato, continuare a trattare dati personali in modo illecito.
