L’autorità di controllo non è tenuta ad adottare una misura in tutti i casi di violazione
l'autorità di controllo non è tenuta ad adottare una misura correttiva, in particolare l'irrogazione di una sanzione amministrativa, qualora ciò non sia necessario al fine di porre rimedio alla carenza rilevata e garantire il pieno rispetto del regolamento. Ciò potrebbe verificarsi, in particolare, qualora il titolare del trattamento, non appena ne sia venuto a conoscenza, abbia adottato le misure necessarie affinché detta violazione cessi e non si ripeta
In materia di protezione dei dati personali, l'autorità nazionale di controllo non è tenuta ad adottare una misura correttiva in tutti i casi di violazione e, in particolare, ad infliggere una sanzione pecuniaria. Al contrario, essa può astenersene qualora il responsabile abbia già adottato le misure necessarie di propria iniziativa, sanciscono i giudici (sentenza del 26 settembre 2024 della Corte di giustizia dell’Unione Europea). Il caso preso in esame ha avuto origine in Germania. Lì, una cassa di risparmio ha constatato che una sua dipendente aveva consultato più volte, senza esservi autorizzata, i dati personali di un cliente. La cassa di risparmio non ne ha informato il cliente, in quanto il suo responsabile della protezione dei dati aveva ritenuto che non vi fosse per lui un rischio elevato. Ciò perché la dipendente aveva confermato per iscritto di non aver né copiato né conservato i dati, di non averli trasmessi a terzi e che non lo avrebbe fatto in futuro, e, inoltre, la cassa di risparmio aveva adottato provvedimenti disciplinari nei suoi confronti. Comunque, la cassa di risparmio ha comunque notificato tale violazione al commissario per la protezione dei dati. Dopo essere venuto incidentalmente a conoscenza di tale fatto, il cliente ha presentato un reclamo dinanzi a detto commissario per la protezione dei dati. E il commissario, dopo aver sentito la cassa di risparmio, ha informato il cliente che non riteneva necessario adottare misure correttive nei confronti della cassa di risparmio. A quel punto, il cliente ha adito le vie legali, chiedendo al giudice nazionale di ingiungere al commissario di intervenire nei confronti della cassa di risparmio e, in particolare, di infliggerle una sanzione pecuniaria. Il giudice nazionale ha chiesto lumi ai giudici comunitari in materia di interpretazione del regolamento generale sulla protezione dei dati. E i giudici comunitari hanno risposto che, in caso di accertamento di una violazione di dati personali, l'autorità di controllo non è tenuta ad adottare una misura correttiva, in particolare l'irrogazione di una sanzione amministrativa, qualora ciò non sia necessario al fine di porre rimedio alla carenza rilevata e garantire il pieno rispetto del regolamento. Ciò potrebbe verificarsi, in particolare, qualora il titolare del trattamento, non appena ne sia venuto a conoscenza, abbia adottato le misure necessarie affinché detta violazione cessi e non si ripeta. Peraltro, il regolamento lascia all’autorità di controllo un margine di discrezionalità quanto al modo in cui essa deve porre rimedio all’inadeguatezza constatata. Tale margine è limitato dalla necessità di garantire un livello coerente ed elevato di protezione dei dati personali mediante un’applicazione rigorosa del regolamento.