---

La questione de qua trae origine dalla domanda di “pronuncia pregiudiziale”, proposta, ai sensi dell’articolo 267 TFUE, dal Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden, Germania), con decisione del 10 dicembre 2021. Il tema oggetto di trattazione consiste nella valutazione della natura “direttamente prescrittiva” (o meno) dell’art. 58, paragrafo 2 del RGPD, in caso di constatazione di una violazione di dati personali. La C.G.U.E. chiarisce che l’autorità di controllo non è tenuta ad adottare una misura correttiva, in particolare una “sanzione amministrativa pecuniaria,” qualora un siffatto intervento non sia (i) “appropriato”, (ii) “necessario” o (iii) “proporzionato”.

La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 57, paragrafo 1, lettere a) e f), dell’articolo 58, paragrafo 2, nonché dell’articolo 77, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati; ed è stata presentata nell’ambito della controversia tra TR e il Land Hessen (Land dell’Assia, Germania), in merito all’omessa adozione, da parte dello Hessischer Beauftragte für Datenschutz und Informationsfreiheit, (commissario per la protezione dei dati e la libertà d’informazione del Land dell’Assia, Germania), di misure correttive nei confronti della Sparkasse X (Cassa di risparmio).

La Sparkasse X, invero, svolge le funzioni di una “Cassa di risparmio”, ed è un ente comunale di diritto pubblico, che, segue, peraltro, operazioni bancarie e creditizie. Il 15 novembre 2019, essa ha notificato una “notizia di illecito”, consistente nella ‘violazione di dati personali’, allo Hessischer Beauftragte für Datenschutz und Informationsfreiheit (HBDI), vale a dire il “Commissario per la protezione dei dati e la libertà d’informazione” del “Land dell’Assia”, in Germania, conformemente all’articolo 33 del RGPD; costituita dal fatto che una delle sue dipendenti aveva, ripetutamente, consultato, in diverse occasioni, dati personali di “TR”, (uno dei suoi clienti), senza esservi autorizzata.

Dopo essere venuto, incidentalmente, a conoscenza del fatto che i suoi dati personali erano stati indebitamente consultati, il 27 luglio 2020, TR ha presentato un reclamo allo HBDI, sulla base dell’articolo 77 del RGPD; denunciando il fatto che la violazione dei suoi dati personali non gli era stata comunicata, in violazione dell’articolo 34 di tale regolamento.

Con decisione del 3 settembre 2020, lo HBDI ha informato TR che la Cassa di risparmio non aveva violato l’articolo 34 del RGPD.

Sicché TR ha presentato ricorso contro siffatta decisione dinanzi al Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden, Germania), vale a dire il giudice del rinvio, chiedendogli di ingiungere allo HBDI di intervenire nei confronti della Cassa di risparmio.

TR, in adesione a quanto sostenuto da una “parte della dottrina”, ritiene che l’articolo 58, paragrafo 2, del RGPD dovrebbe essere inteso come una “norma immediatamente e direttamene prescrittiva”, capace di comportare effettive ripercussioni coercitive contro gli autori degli illeciti, nonché idonea, come tale, a fondare un diritto del cittadino, ad un’azione, da esercitarsi di fronte all’autorità, allorché vi sia stato un illecito trattamento di dati personali.

In linea con tale ricostruzione esegetica, in caso di accertamento di una violazione della protezione dei dati, l’autorità di controllo sarebbe, quindi, obbligata ad adottare misure correttive, restandole solamente la discrezionalità di scegliere quali tra le misure previste adottare.

Il giudice del rinvio dubita, tuttavia, della fondatezza di tale interpretazione, che esso ritiene “troppo estensiva”.

Il giudicante de quo, viceversa, risulta incline, piuttosto, a riconoscere, all’autorità di controllo, un “margine di discrezionalità” che l’autorizzi, in taluni casi, ad omettere di adottare una misura correttiva, in particolare di infliggere una sanzione, in caso di violazione accertata.

In tali circostanze, il Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden) ha deciso di sospendere il procedimento e di sottoporre alla Corte la seguente questione pregiudiziale: “Se l’articolo 57, paragrafo 1, lettere a) ed f) e l’articolo 58, paragrafo 2, lettere da a) a j), in combinato disposto con l’articolo 77, paragrafo 1, del [RGPD] debbano essere interpretati nel senso che nel caso in cui l’autorità di controllo rilevi un trattamento dei dati che viola i diritti dell’interessato l’autorità di controllo sia sempre obbligata ad intervenire ai sensi dell’articolo 58, paragrafo 2, [di tale regolamento]”.

La domanda di pronuncia pregiudiziale è stata reputata ricevibile.

La Corte di Giustizia U.E. (Prima Sezione) ha chiarito quanto segue.

Il combinato disposto dell’articolo 57, paragrafo 1, lettere a) e f), dell’articolo 58, paragrafo 2, e dell’articolo 77, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che: “ in caso di constatazione di una violazione di dati personali, l’autorità di controllo non è tenuta ad adottare una misura correttiva, in particolare una sanzione amministrativa pecuniaria, ai sensi di tale articolo 58, paragrafo 2, qualora un siffatto intervento non sia appropriato, necessario o proporzionato al fine di porre rimedio all’inadeguatezza constatata e garantire il pieno rispetto di tale regolamento”.
In ordine alla questione pregiudiziale, occorre rilevare come il R.G.P.D. attribuisca, all’autorità di controllo, un margine di discrezionalità quanto “al modo in cui essa deve porre rimedio all’inadeguatezza constatata”; atteso che l’articolo 58, paragrafo 2, conferisce il potere di adottare “diverse” misure correttive.

Nientemeno, la Corte suggerisce la seguente ricostruzione: la scelta del mezzo “più appropriato e necessario” spetta all’autorità di controllo, che deve fare tale scelta prendendo in considerazione tutte le circostanze del caso concreto, e “ assolvendo al suo compito di vigilare sul pieno rispetto del RGPD con tutta la diligenza richiesta ” (v., in tal senso, sentenza del 16 luglio 2020, Facebook Ireland e Schrems, C311/18).

Per quanto riguarda, più in particolare, le sanzioni amministrative pecuniarie contemplate dal R.G.P.D., non v’è chi non veda come queste debbano essere inflitte, a parer della Corte di Giustizia U.E., in “funzione delle circostanze di ogni singolo caso”.

Inoltre, si precisa che, al momento della decisione in ordine al “se” infliggere una sanzione amministrativa pecuniaria, con fissazione “dell’ammontare” della stessa, l’autorità di controllo, in ogni singolo caso, tiene, debitamente, conto, di talune evenienze e circostanze; e, segnatamente, (i) della natura, (ii) della gravità, nonché (iii) della durata della violazione.

Con la conseguenza che il legislatore dell’Unione sembra aver previsto un sistema di sanzioni che consente, alle autorità di controllo, di imporre “le sanzioni più appropriate e giustificate ”, a seconda delle circostanze di ciascun caso (v., in tal senso, sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C683/21). Ferma restando, nientemeno, la necessità di garantire il pieno rispetto del R.G.P.D., nonché di garantire un “livello coerente ed elevato “di protezione dei dati personali, mediante un’applicazione rigorosa delle norme.

Di conseguenza, la Corte di Giustizia U.E., afferma che: “non si può dedurre né dall’articolo 58, paragrafo 2, del RGPD, né dall’articolo 83 dello stesso, che vi sia un obbligo per l’autorità di controllo di adottare, in tutti i casi in cui riscontri una violazione dei dati personali, una misura correttiva, in particolare una sanzione amministrativa pecuniaria, essendo il suo obbligo, in tali circostanze, quello di reagire in modo appropriato al fine di porre rimedio alla carenza riscontrata ”.

In tali circostanze, peraltro, come anche rilevato dall’avvocato generale, al paragrafo 81 delle sue conclusioni, “l’autore di un reclamo i cui diritti siano stati violati non dispone di un diritto soggettivo all’imposizione, da parte dell’autorità di controllo, di una sanzione amministrativa pecuniaria al titolare del trattamento ”.

Per contro, come già rilevato, la misura coercitiva è letta come “extrema ratio”, atteso che l’autorità di controllo è tenuta ad intervenire qualora l’adozione di una o più delle misure correttive previste all’articolo 58, paragrafo 2, del RGPD risulti, tenuto conto delle circostanze di ciascun singolo caso, appropriata, necessaria, nonché proporzionata, al fine di porre rimedio all’inadeguatezza constatata e assicurare la conformità a tale regolamento.

Gioco forza, evidentemente, ne consegue come: non è escluso, in via eccezionale, e, tenuto conto delle circostanze particolari del caso concreto, che l’autorità di controllo possa omettere di adottare una misura correttiva nonostante sia stata constatata una violazione di dati personali.

Ciò potrebbe verificarsi, in particolare, qualora la violazione constatata non sia persistita; e, segnatamente, ad esempio, “qualora il titolare del trattamento, che aveva, in linea di principio, attuato misure tecniche e organizzative adeguate, ai sensi dell’articolo 24 del RGPD, abbia adottato, non appena sia venuto a conoscenza di tale violazione, le misure appropriate e necessarie affinché detta violazione cessasse e non si ripetesse, tenuto conto degli obblighi su di esso incombenti, in particolare, ai sensi dell’articolo 5, paragrafo 2, e dell’articolo 24, di tale regolamento ”.

L’interpretazione secondo la quale l’autorità di controllo, qualora constati una violazione di dati personali, non è tenuta ad adottare, sempre e comunque, una misura correttiva, ai sensi dell’articolo 58, paragrafo 2, del RGPD, è corroborata dagli obiettivi perseguiti, rispettivamente, da tale articolo 58, paragrafo 2, nonché dall’articolo 83 di tale regolamento.

Per quanto riguarda l’obiettivo perseguito dall’articolo 58, paragrafo 2, del RGPD, dal considerando 129 del medesimo, risulta che tale disposizione mira a garantire la conformità del trattamento dei dati personali, a tale regolamento, nonché il ripristino di situazioni di violazione di quest’ultimo, per renderle conformi al diritto dell’Unione, grazie all’intervento delle autorità nazionali di controllo (sentenza del 14 marzo 2024, Újpesti Polgármesteri Hivatal, C46/23).

Ne consegue che l’adozione di una misura correttiva può, in via eccezionale, nonché, tenuto conto delle circostanze particolari del caso concreto, non imporsi, a condizione che “la situazione di violazione del RGPD sia già stata ripristinata e che sia garantita la conformità dei trattamenti di dati personali a tale regolamento da parte del loro titolare, e che una siffatta omissione dell’autorità di controllo non sia tale da pregiudicare il requisito di un’applicazione rigorosa delle norme ”.

Quanto all’obiettivo perseguito dall’articolo 83 del RGPD, relativo all’imposizione di sanzioni amministrative pecuniarie, esso consiste, ai sensi del considerando 148 di tale regolamento, nel rafforzare il rispetto delle norme di quest’ultimo. Tuttavia, tale medesimo considerando enuncia che “è consentito alle autorità di controllo, nel caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisca un onere sproporzionato per una persona fisica, di astenersi dall’imporre una sanzione pecuniaria e di rivolgere, in suo luogo, un ammonimento ” (v., in tal senso, sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C683/21).

---