Il Garante Privacy può ordinare d’ufficio la cancellazione dei dati
La Corte di Giustizia Europea, con la sentenza del 14 marzo 2024, relativa alla causa C-46/23, ha chiarito che tra i poteri delle Autorità nazionali di controllo privacy vi è anche quello di ordinare al titolare o al responsabile del trattamento la cancellazione dei dati personali trattati illecitamente, anche nel caso in cui l’interessato non abbia presentato alcuna richiesta in tal senso. La conformità del trattamento dei dati personali al GDPR viene, infatti, garantita anche attraverso l’intervento delle Autorità nazionali di controllo.
La controversia trae origine dalla rilevazione, da parte dell’Autorità di controllo privacy ungherese di diverse violazioni di disposizioni del GDPR, commesse da un ente locale.
Il Garante ungherese provvedeva quindi a ordinare all’amministrazione locale la cancellazione dei dati personali degli interessati ma l’ente locale ricorreva tuttavia contro tale decisione, sostenendo che l’Autorità di controllo non avesse il potere di ordinare la cancellazione di dati personali in assenza di una richiesta presentata dall’interessato.
La Corte di Giustizia, dopo aver preliminarmente osservato che, secondo quanto previsto dall’art. 17 del reg. Ue 679/2016, l’interessato, nel caso in cui i dati personali che lo riguardano fossero stati trattati illecitamente, ha il diritto di ottenere dal titolare del trattamento la cancellazione di tali dati senza ingiustificato ritardo, precisava che l’art. 58 del reg. Ue 679/2016 conferisce espressamente all’Autorità di controllo il potere di ordinare la cancellazione di dati personali, a norma del citato art. 17.
L’art. 58 del reg. Ue 679/2016 distingue le misure correttive che possono essere disposte d’ufficio, da quelle che possono essere adottate solo dietro richiesta presentata dall’interessato al fine di esercitare i suoi diritti. L’adozione della misura di cui all’art. 58 § 2 lett. c) del reg. Ue 679/2016 (ingiungere al titolare del trattamento di soddisfare le richieste dell’interessato di esercitare i diritti derivanti dal GDPR), ad esempio, presuppone che l’interessato abbia preliminarmente presentato una richiesta in tal senso. Diversamente, secondo la Corte di Giustizia, la formulazione dell’art. 58 § 2 lett. g) del reg. Ue 679/2016, secondo cui l’Autorità di controllo ha il potere di “ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento a norma degli articoli 16, 17 e 18” del reg. Ue 679/2016, non consente di ritenere tali interventi limitati ai soli casi in cui l’interessato abbia presentato una richiesta a tale fine.
L’obbligo di cancellazione dei dati trattati illecitamente, inoltre, grava sul titolare a prescindere da qualsiasi richiesta dell’interessato, che potrebbe essere anche all’oscuro del fatto che dati personali che lo riguardano sono stati trattati.
Il compito di vigilare sul pieno rispetto del GDPR, in capo alle Autorità di controllo, deve essere svolto anche nei casi in cui gli interessati non siano informati del trattamento dei loro dati personali, non ne siano a conoscenza o non ne abbiano richiesto la cancellazione.
Il GPDR garantisce un livello elevato di protezione del diritto fondamentale delle persone fisiche alla protezione dei dati personali che le riguardano. Tale garanzia verrebbe compromessa nel caso in cui la cancellazione dei dati personali trattati illecitamente potesse essere ottenuta solo su richiesta degli interessati, e non anche su iniziativa dell’Autorità di controllo.
Infatti, in assenza della richiesta degli interessati il titolare del trattamento potrebbe conservare i dati personali di un numero di persone potenzialmente elevato, continuando il trattamento illecito.
Di conseguenza, secondo la Corte di Giustizia, per effetto di quanto previsto dall’art. 58 § 2 lett. g) del reg. Ue 679/2016, le Autorità di controllo nazionali possono ordinare al titolare del trattamento o al responsabile del trattamento di cancellare i dati personali oggetto di trattamento illecito, anche procedendo d’ufficio