Corte di Giustizia UE, I Sezione, sentenza 26 settembre 2024 (causa C-768/2021)
PRINCIPIO DI DIRITTO
Il combinato disposto dell’articolo 57, paragrafo 1, lettere a) e f), dell’articolo 58, paragrafo 2, e dell’articolo 77, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che in caso di constatazione di una violazione di dati personali, l’autorità di controllo non è tenuta ad adottare una misura correttiva, in particolare una sanzione amministrativa pecuniaria, ai sensi di tale articolo 58, paragrafo 2, qualora un siffatto intervento non sia appropriato, necessario o proporzionato al fine di porre rimedio all’inadeguatezza constatata e garantire il pieno rispetto di tale regolamento.
TESTO RILEVANTE DELLA DECISIONE (sintesi massimata)
Sulla questione pregiudiziale
30 Per rispondere alla questione sollevata, occorre ricordare, in via preliminare, che l’interpretazione di una disposizione del diritto dell’Unione richiede di tener conto non soltanto della sua formulazione, ma anche del contesto in cui essa si inserisce nonché degli obiettivi e della finalità che persegue l’atto di cui essa fa parte [sentenza del 7 dicembre 2023, SCHUFA Holding (Esdebitazione), C‑26/22 e C‑64/22, EU:C:2023:958, punto 48 e giurisprudenza citata].
31 Occorre ricordare altresì che, conformemente all’articolo 8, paragrafo 3, della Carta dei diritti fondamentali dell’Unione europea, nonché all’articolo 51, paragrafo 1, e all’articolo 57, paragrafo 1, lettera a), del RGPD, le autorità nazionali di controllo sono incaricate di controllare il rispetto delle norme dell’Unione relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali [sentenza del 7 dicembre 2023, SCHUFA Holding (Esdebitazione), C‑26/22 e C‑64/22, EU:C:2023:958, punto 55 e giurisprudenza citata].
32 In particolare, a norma dell’articolo 57, paragrafo 1, lettera f), del RGDP, ogni autorità di controllo è tenuta, nel suo territorio, a trattare i reclami che qualsiasi persona, ai sensi dell’articolo 77, paragrafo 1, di tale regolamento, ha il diritto di proporre quando considera che un trattamento di dati personali che la riguardano costituisca una violazione di tale regolamento, ad esaminarne l’oggetto nella misura necessaria e ad informare l’autore del reclamo dello stato e dell’esito dell’indagine entro un termine ragionevole. L’autorità di controllo deve trattare un siffatto reclamo con la dovuta diligenza [v, in tal senso, sentenza del 7 dicembre 2023, SCHUFA Holding (Esdebitazione) C‑26/22 e C‑64/22, EU:C:2023:958, punto 56 e giurisprudenza citata].
33 Al fine del trattamento dei reclami così presentati, l’articolo 58, paragrafo 1, del RGDP conferisce a ciascuna autorità di controllo significativi poteri di indagine. Quando una siffatta autorità constata, al termine della sua indagine, una violazione delle disposizioni di tale regolamento, essa è tenuta a reagire in modo appropriato al fine di porre rimedio all’inadeguatezza constatata, poiché qualsiasi misura, come precisato dal considerando 129 di tale regolamento, deve, in particolare, essere appropriata, necessaria e proporzionata al fine di assicurare la conformità a detto regolamento, tenuto conto delle circostanze di ciascun singolo caso. A tal fine, l’articolo 58, paragrafo 2, di tale regolamento elenca le diverse misure correttive che l’autorità di controllo può adottare [v., in tal senso, sentenza del 7 dicembre 2023, SCHUFA Holding (Esdebitazione), C‑26/22 e C‑64/22, EU:C:2023:958, punto 57 e giurisprudenza citata).
34 Pertanto, in forza dell’articolo 58, paragrafo 2, del RGPD, l’autorità di controllo ha il potere, in particolare, di richiamare all’ordine un titolare del trattamento o un responsabile del trattamento ove i trattamenti abbiano comportato una violazione delle disposizioni di tale regolamento [lettera b)], di ordinare al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i suoi diritti ai sensi di detto regolamento [lettera c)], di ordinare al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del medesimo regolamento, se del caso, in modo specifico ed entro un termine determinato [lettera d)], o ancora di imporre una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 del RGPD, in aggiunta o in luogo delle misure di cui a tale articolo 58, paragrafo 2, in funzione delle caratteristiche specifiche di ciascun caso [punto i)].
35 Ne consegue che la procedura di reclamo è concepita come un meccanismo idoneo a salvaguardare efficacemente i diritti e gli interessi delle persone coinvolte [sentenza del 7 dicembre 2023, SCHUFA Holding (Esdebitazione), C‑26/22 e C‑64/22, EU:C:2023:958, punto 58].
36 Nel caso di specie, dalla domanda di pronuncia pregiudiziale risulta che lo HBDI ha esaminato nel merito il reclamo presentato dal ricorrente nel procedimento principale e lo ha informato dell’esito dell’indagine. Più specificamente, lo HBDI ha confermato che una violazione dei dati personali di quest’ultimo si era verificata in seno alla Cassa di risparmio, consistente nell’accesso non autorizzato a questi ultimi da parte di una delle sue dipendenti. Tuttavia, per quanto riguarda i diritti di consultazione dei membri del personale della Cassa di risparmio, lo HBDI ha respinto il reclamo presentato dal ricorrente nel procedimento principale. Inoltre, esso ha concluso che non era necessario intervenire contro la Cassa di risparmio ai sensi dell’articolo 58, paragrafo 2, del RGPD.
37 A tal riguardo, occorre rilevare che il RGPD lascia all’autorità di controllo un margine di discrezionalità quanto al modo in cui essa deve porre rimedio all’inadeguatezza constatata, poiché l’articolo 58, paragrafo 2, di quest’ultimo conferisce a tale autorità il potere di adottare diverse misure correttive. Pertanto, la Corte ha già dichiarato che la scelta del mezzo appropriato e necessario spetta all’autorità di controllo che deve fare tale scelta prendendo in considerazione tutte le circostanze del caso concreto e assolvendo al suo compito di vigilare sul pieno rispetto del RGPD con tutta la diligenza richiesta (v., in tal senso, sentenza del 16 luglio 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559, punto 112).
38 Tale potere discrezionale è tuttavia limitato dalla necessità di garantire un livello coerente ed elevato di protezione dei dati personali mediante un’applicazione rigorosa delle norme, come risulta dai considerando 7 e 10 del RGPD.
39 Per quanto riguarda, più in particolare, le sanzioni amministrative pecuniarie di cui all’articolo 58, paragrafo 2, lettera i), del RGPD, dall’articolo 83, paragrafo 2, di tale regolamento risulta che esse sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui a tale articolo 58, paragrafo 2 o in luogo di tali misure. Inoltre, tale articolo 83, paragrafo 2, precisa che, al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa, l’autorità di controllo in ogni singolo caso tiene debitamente conto degli elementi di cui alle lettere da a) a k) di tale disposizione, quali la natura, la gravità e la durata della violazione.
40 Pertanto, il legislatore dell’Unione ha previsto un sistema di sanzioni che consente alle autorità di controllo di imporre le sanzioni più appropriate e giustificate a seconda delle circostanze di ciascun caso (v., in tal senso, sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punti 75 e 78), prendendo in considerazione, come ricordato ai punti 37 e 38 della presente sentenza, la necessità di garantire il pieno rispetto del RGPD, nonché di garantire un livello coerente ed elevato di protezione dei dati personali mediante un’applicazione rigorosa delle norme.
41 Di conseguenza, non si può dedurre né dall’articolo 58, paragrafo 2, del RGPD, né dall’articolo 83 dello stesso, che vi sia un obbligo per l’autorità di controllo di adottare, in tutti i casi in cui riscontri una violazione dei dati personali, una misura correttiva, in particolare una sanzione amministrativa pecuniaria, essendo il suo obbligo, in tali circostanze, quello di reagire in modo appropriato al fine di porre rimedio alla carenza riscontrata. In tali circostanze, come rilevato dall’avvocato generale al paragrafo 81 delle sue conclusioni, l’autore di un reclamo i cui diritti siano stati violati non dispone di un diritto soggettivo all’imposizione, da parte dell’autorità di controllo, di una sanzione amministrativa pecuniaria al titolare del trattamento.
42 Per contro, l’autorità di controllo è tenuta ad intervenire qualora l’adozione di una o più delle misure correttive previste all’articolo 58, paragrafo 2, del RGPD sia, tenuto conto delle circostanze di ciascun singolo caso, appropriata, necessaria e proporzionata al fine di porre rimedio all’inadeguatezza constatata e assicurare la conformità a tale regolamento.
43 A tal riguardo, non è escluso che, in via eccezionale e tenuto conto delle circostanze particolari del caso concreto, l’autorità di controllo possa omettere di adottare una misura correttiva nonostante sia stata constatata una violazione di dati personali. Ciò potrebbe verificarsi, in particolare, qualora la violazione constatata non sia persistita, ad esempio qualora il titolare del trattamento, che aveva, in linea di principio, attuato misure tecniche e organizzative adeguate ai sensi dell’articolo 24 del RGPD, abbia adottato, non appena ne sia venuto a conoscenza di tale violazione, le misure appropriate e necessarie affinché detta violazione cessasse e non si ripeta, tenuto conto degli obblighi ad esso incombenti, in particolare, ai sensi dell’articolo 5, paragrafo 2, e dell’articolo 24 di tale regolamento.
44 L’interpretazione secondo la quale l’autorità di controllo, qualora constati una violazione di dati personali, non è tenuta ad adottare in tutti i casi una misura correttiva ai sensi dell’articolo 58, paragrafo 2, del RGPD è corroborata dagli obiettivi perseguiti rispettivamente da tale articolo 58, paragrafo 2, nonché dall’articolo 83 di tale regolamento.
45 Per quanto riguarda l’obiettivo perseguito dall’articolo 58, paragrafo 2, del RGPD, dal considerando 129 del medesimo risulta che tale disposizione mira a garantire la conformità del trattamento dei dati personali a tale regolamento nonché il ripristino di situazioni di violazione di quest’ultimo per renderle conformi al diritto dell’Unione, grazie all’intervento delle autorità nazionali di controllo (sentenza del 14 marzo 2024, Újpesti Polgármesteri Hivatal, C‑46/23, EU:C:2024:239, punto 40).
46 Ne consegue che l’adozione di una misura correttiva può, in via eccezionale e tenuto conto delle circostanze particolari del caso concreto, non imporsi, a condizione che la situazione di violazione del RGPD sia già stata ripristinata e che sia garantita la conformità dei trattamenti di dati personali a tale regolamento da parte del loro titolare, e che una siffatta omissione dell’autorità di controllo non sia tale da pregiudicare il requisito di un’applicazione rigorosa delle norme, come ricordato al punto 38 della presente sentenza.
47 Quanto all’obiettivo perseguito dall’articolo 83 del RGPD, relativo all’imposizione di sanzioni amministrative pecuniarie, esso consiste, ai sensi del considerando 148 di tale regolamento, nel rafforzare il rispetto delle norme di quest’ultimo. Tuttavia, tale medesimo considerando enuncia che è consentito alle autorità di controllo, nel caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisca un onere sproporzionato per una persona fisica, di astenersi dall’imporre una sanzione pecuniaria e di rivolgere, in suo luogo, un ammonimento (v., in tal senso, sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punto 76).
48 Nel caso di specie, dalla domanda di pronuncia pregiudiziale risulta che la Cassa di risparmio ha notificato allo HBDI, conformemente all’articolo 33 del RGPD, la violazione dei dati personali del ricorrente nel procedimento principale, derivante dall’accesso non autorizzato a questi ultimi da parte di uno dei suoi dipendenti. Inoltre, essa ha indicato che erano state adottate misure disciplinari nei confronti di tale dipendente e che la durata di conservazione del registro di accesso sarebbe stata oggetto di un riesame. È in tali circostanze che lo HBDI ha omesso di adottare una misura correttiva ai sensi dell’articolo 58, paragrafo 2, del RGPD, e in particolare dall’infliggere una sanzione amministrativa pecuniaria.
49 Poiché le decisioni su reclamo adottate da un’autorità di controllo sono soggette a un sindacato giurisdizionale completo [sentenza del 7 dicembre 2023, SCHUFA Holding (Esdebitazione), C‑26/22 e C‑64/22, EU:C:2023:958, punto 70], spetta al giudice del rinvio verificare se lo HBDI abbia proceduto al trattamento del reclamo di cui trattasi con tutta la diligenza richiesta e se, adottando la decisione di cui trattasi nel procedimento principale, lo HBDI abbia rispettato i limiti del potere discrezionale conferitogli dall’articolo 58, paragrafo 2, del RGPD [v., per analogia, sentenza del 7 dicembre 2023, SCHUFA Holding (Esdebitazione), C‑26/22 e C‑64/22, EU:C:2023:958, punti 68 e 69 nonché la giurisprudenza ivi citata].
50 Alla luce di tutte le considerazioni che precedono, occorre rispondere alla questione sollevata dichiarando che l’articolo 57, paragrafo 1, lettere a) e f), l’articolo 58, paragrafo 2, e l’articolo 77, paragrafo 1, del RGPD devono essere interpretati nel senso che, in caso di constatazione di una violazione di dati personali, l’autorità di controllo non è tenuta ad adottare una misura correttiva, in particolare una sanzione amministrativa pecuniaria, ai sensi di tale articolo 58, paragrafo 2, qualora un siffatto intervento non sia appropriato, necessario o proporzionato al fine di porre rimedio all’inadeguatezza constatata e garantire il pieno rispetto di tale regolamento.
Sulle spese
51 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
Per questi motivi, la Corte (Prima Sezione) dichiara:
Il combinato disposto dell’articolo 57, paragrafo 1, lettere a) e f), dell’articolo 58, paragrafo 2, e dell’articolo 77, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che in caso di constatazione di una violazione di dati personali, l’autorità di controllo non è tenuta ad adottare una misura correttiva, in particolare una sanzione amministrativa pecuniaria, ai sensi di tale articolo 58, paragrafo 2, qualora un siffatto intervento non sia appropriato, necessario o proporzionato al fine di porre rimedio all’inadeguatezza constatata e garantire il pieno rispetto di tale regolamento.
