Protezione dei dati personali e poteri correttivi: le nuove linee guida dell'Avvocato Generale UE
L'avvocato generale della Corte di Giustizia UE Pikamä ha stabilito che un'entità che controlla la privacy deve intervenire se rileva una violazione durante l'esame di un reclamo, senza obbligare necessariamente l'adozione di una misura specifica
Tutto è cominciato quando un cliente di un istituto di credito in Germania ha presentato un reclamo al Commissario federale per la protezione dei dati e la libertà di informazione in Germania. Questo reclamo riguardava il fatto che un dipendente della Cassa di Risparmio avesse consultato i suoi dati personali senza autorizzazione. Anche se il Commissario ha riscontrato una violazione delle regole sulla protezione dei dati, ha deciso che non c'era bisogno di prendere provvedimenti, poiché l'istituto di credito aveva già preso provvedimenti disciplinari contro il dipendente in questione. Il cliente, insoddisfatto, ha chiesto al giudice tedesco di ordinare al Commissario di intervenire con una sanzione pecuniaria contro la Cassa di Risparmio.
Il giudice tedesco ha chiesto alla Corte di Giustizia UE di chiarire i poteri e gli obblighi del Commissario per la protezione dei dati come "autorità di controllo" in casi di violazione dei dati personali.
L'avvocato generale Priit Pikamäe ha ritenuto che l'autorità di controllo sulla privacy debba sempre intervenire in caso di violazione dei dati personali durante la valutazione di un reclamo. Tuttavia, le sanzioni non sono automatiche e devono essere valutate caso per caso. Questo significa che l'autorità di controllo deve considerare tutte le circostanze specifiche e scegliere misure correttive adeguate, necessarie e proporzionate.
In base al GDPR, infatti, l'autorità di controllo ha diversi poteri correttivi, compresa la possibilità di imporre sanzioni amministrative pecuniarie. Nonostante ciò, l'avvocato generale sostiene che l'autorità di controllo non è obbligata a imporre automaticamente una sanzione in caso di violazioni dei dati personali. La decisione di adottare una misura correttiva spetterà all'autorità di controllo, che dovrà valutare attentamente ciascun caso specifico e decidere se applicare o meno una sanzione tra le opzioni disponibili.
In conclusione, è stato sottolineata l'importanza di considerare le circostanze individuali di ciascun caso quando si valuta una violazione dei dati personali e si decide sulle misure correttive da adottare. Le sanzioni non sono automatiche e dipenderanno dall'applicazione discrezionale dell'autorità di controllo in base al GDPR.