La Corte di Giustizia dell’Unione Europea (CGUE), nella sentenza del 26 settembre 2024 relativa alla causa C-768/21, ha stabilito che le autorità di controllo per la protezione dei dati personali non sono obbligate a comminare sanzioni amministrative per ogni violazione del GDPR, il Regolamento Generale sulla Protezione dei Dati .
Questa decisione evidenzia il carattere discrezionale delle misure adottabili dalle autorità di vigilanza, pur nel rispetto di criteri di proporzionalità, necessità e adeguatezza con riguardo al trattamento dei dati personali.
Il contesto della sentenza
Il caso nasce in Germania, dove un istituto bancario aveva scoperto che una delle sue dipendenti aveva consultato in più occasioni i dati personali di un proprio cliente, senza esservi però autorizzata. Poiché i dati non erano stati copiati né trasmessi a terzi, la banca aveva ritenuto di non informare il cliente; tuttavia, aveva adottato provvedimenti disciplinari nei confronti della dipendente, ed aveva comunque notificato regolarmente tale violazione all’autorità garante per la protezione dei dati.
L’autorità, rilevata effettivamente una violazione legata all’accesso non autorizzato ai dati personali, aveva deciso di non infliggere sanzioni alla banca e la invitava ad adottare misure correttive interne. Il cliente, venuto incidentalmente a conoscenza di tale fatto, proponeva ricorso giudiziale affinché il giudice nazionale obbligasse l’autorità garante a intervenire in modo più deciso nei confronti dell’istituto bancario.
La decisione della CGUE
La CGUE, interpellata per chiarire l’applicazione del GDPR, ha sottolineato che, pur essendo obbligata a intervenire in caso di violazioni, l’autorità nazionale può scegliere le misure ritenute più appropriate per garantire il rispetto del regolamento. Tra queste, vi è anche la possibilità di non infliggere sanzioni pecuniarie qualora altre azioni siano sufficienti a ripristinare la conformità normativa e a tutelare i diritti degli interessati.
La Corte ha precisato che l’articolo 58 del GDPR attribuisce alle autorità di controllo un’ampia gamma di strumenti di intervento, tra cui ammonimenti, divieti di trattamento o imposizioni di sanzioni. Tuttavia, l’imposizione di una sanzione non è automatica: l’autorità deve valutare caso per caso, tenendo conto della gravità della violazione, delle azioni intraprese dal titolare del trattamento e delle circostanze specifiche.
La sentenza evidenzia come il potere discrezionale delle autorità sia bilanciato dalla necessità di garantire un’efficace protezione dei dati personali, conformemente ai principi del GDPR, ma con la possibilità di scegliere soluzioni più flessibili per situazioni non particolarmente gravi o già sanate.
Riflessioni e possibili sviluppi
Questa interpretazione ha importanti ricadute per la gestione della privacy da parte delle imprese e per l’attività delle autorità di vigilanza.
A fronte di una violazione del GDPR, il Garante della privacy deve reagire in maniera appropriata, ma non per questo l’interessato ha diritto a vedere applicata una sanzione amministrativa pecuniaria nel caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisca un onere sproporzionato.
La sentenza incoraggia le aziende a dimostrare proattività nella gestione delle violazioni, adottando misure correttive rapide ed efficaci e, d’altra parte, invita le autorità di controllo ad agire in modo trasparente, giustificando le loro decisioni anche quando scelgono di non applicare sanzioni.
Questo approccio non diminuisce l’efficacia del GDPR, ma sottolinea un’applicazione bilanciata del regolamento, basata sul contesto specifico e sull’obiettivo di prevenire le violazioni future, piuttosto che di punire a tutti i costi.
Teresa Franza