Protezione dati personali, Corte Ue: l’Autorità di controllo non sempre deve multare (Foto di Pete Linforth da Pixabay)
Protezione dati personali, Corte Ue: l’Autorità di controllo non sempre deve multare
Protezione dei dati personali: l’autorità di controllo non è tenuta ad adottare una misura correttiva in tutti i casi di violazione e, in particolare, a infliggere una sanzione pecuniaria
La Corte di giustizia della Ue si pronuncia su un caso che riguarda la protezione dei dati personali. E spiega che l’Autorità di controllo non è tenuta ad adottare una misura correttiva in tutti i casi di violazione e, in particolare, a infliggere una sanzione pecuniaria: può evitarlo se il responsabile del trattamento dei dati è già intervenuto, adottato le misure necessarie di propria iniziativa.
Protezione dati personali e applicazione del regolamento Ue
La Corte si è espressa su un caso che viene dalla giustizia tedesca, che ha chiesto di interpretare il regolamento generale sulla protezione dei dati (RGPD).
In Germania una Cassa di risparmio ha constatato che una delle sue dipendenti aveva consultato più volte, senza essere autorizzata, i dati personali di un cliente. La Cassa di risparmio non ne ha informato quest’ultimo in quanto il suo responsabile della protezione dei dati aveva ritenuto che non vi fosse un rischio elevato. La dipendente aveva confermato di non aver né copiato né conservato i dati. La Cassa ha adottato provvedimenti disciplinari nei suoi confronti ma ha comunque notificato la violazione al commissario per la protezione dei dati del Land. Il clientw, venuto a conoscenza del fatto, ha presentato un reclamo ma il Commissario per la protezione dati lo ha informato che non riteneva necessario adottare misure correttive nei confronti della Cassa di risparmio. Da qui un ricorso e l’arrivo alla Corte Ue.
La Corte oggi risponde che “in caso di accertamento di una violazione di dati personali, l’autorità di controllo non è tenuta ad adottare una misura correttiva , in particolare l’irrogazione di una sanzione amministrativa, qualora ciò non sia necessario al fine di porre rimedio alla carenza rilevata e garantire il pieno rispetto del RGPD. Ciò potrebbe verificarsi, in particolare, qualora il titolare del trattamento, non appena ne sia venuto a conoscenza, abbia adottato le misure necessarie affinché detta violazione cessi e non si ripeta”.
Il regolamento lascia all’Autorità un margine di discrezionalità, limitato dalla necessità di garantire un alto livello di protezione dati attraverso l’applicazione del RGPD. Ora spetta alla giustizia tedesca verificare se il commissario per la protezione dei dati abbia rispettato tali limiti.
