Nessuna attuazione individuale di sanzioni contro le autorità di controllo della protezione dei dati – Contesto di una recente sentenza della Corte di giustizia dell’UE
Con decisione del 14 marzo 2024 (causa C-768/21), la Corte di giustizia dell’Unione europea (CGUE) ha chiarito che le persone interessate non hanno il diritto azionabile nei confronti di un’autorità di controllo della protezione dei dati di esigere l’irrogazione di una sanzione pecuniaria o di altre misure correttive contro il responsabile di una violazione della protezione dei dati. Tale decisione sottolinea il ruolo e il margine di discrezionalità delle autorità di controllo e ha importanti conseguenze per la tutela giuridica degli interessati.
Quadro normativo e mandato delle autorità di controllo
La struttura del Regolamento generale sulla protezione dei dati
Il Regolamento generale sulla protezione dei dati (RGPD), quale normativa cardine del diritto europeo in materia di protezione dei dati, prevede per le violazioni degli obblighi relativi alla protezione dei dati un sistema graduato di sanzioni e misure correttive. La competenza per l’attuazione di tali misure spetta primariamente alle autorità nazionali di controllo della protezione dei dati. In base agli artt. 57 e seguenti RGPD, le autorità sono obbligate a trattare i reclami, chiarire le circostanze e adottare – sotto la propria responsabilità – misure adeguate in presenza di violazioni accertate.
Funzione di “custode” del diritto alla protezione dei dati
Il ruolo delle autorità di controllo non si limita alla mera applicazione della legge caso per caso. Esse svolgono invece la funzione di un’istanza indipendente che si pone come intermediario tra gli interessati e i responsabili e garantisce il rispetto delle norme sulla protezione dei dati. La loro attività è caratterizzata da spazi di discrezionalità procedurale che consentono una reazione idonea alle diverse violazioni.
Riguarda: Nessun diritto individuale a sanzioni o misure correttive
Motivo e decisione della Corte di giustizia dell’UE
La sentenza aveva per oggetto un caso in cui una persona interessata chiedeva l’irrogazione di una sanzione pecuniaria nei confronti di un responsabile. Sebbene l’autorità di controllo avesse avviato delle indagini, non aveva imposto alcuna sanzione. Secondo la CGUE, l’autorità non è vincolata alle richieste individuali nella scelta e valutazione delle misure.
Il punto centrale della decisione è che gli interessati hanno sì diritto a un’efficace trattazione del reclamo e a essere informati sull’esito dello stesso, ma non possono rivendicare uno specifico diritto all’adozione di una determinata misura – ad esempio una sanzione pecuniaria. La scelta e l’intensità delle eventuali sanzioni sono rimesse alla libera discrezionalità dell’autorità competente.
Motivazione della Corte
I giudici hanno sottolineato che le norme sanzionatorie del RGPD servono principalmente alla tutela di interessi pubblici e non disciplinano in prima istanza pretese individuali di risarcimento o soddisfazione. Qualora venga accertata una violazione della protezione dei dati, l’autorità è comunque tenuta ad adottare adeguate misure nell’ambito del proprio margine di discrezionalità. La decisione sulla natura e l’entità della sanzione è presa indipendentemente dalla richiesta della persona interessata.
Implicazioni per la tutela giurisdizionale degli interessati
Diritti della persona interessata
Gli interessati possono continuare a presentare reclami e richiedere lo svolgimento di indagini approfondite. In caso di reclamo, l’autorità di controllo competente è obbligata a esaminare oggettivamente i fatti e a comunicarne l’esito. Tuttavia, non esiste un diritto azionabile all’irrogazione di una specifica sanzione. Se la persona interessata intende proseguire nelle sue pretese contro i responsabili, resta aperta la via del risarcimento civile dei danni, che però va fatta valere separatamente.
Rilevanza pratica
Per le imprese, le amministrazioni pubbliche e gli altri responsabili del trattamento dei dati, la decisione offre una maggiore certezza giuridica nella gestione delle richieste e dei reclami degli interessati. Nell’ambito della compliance interna all’azienda e nelle procedure di vigilanza, occorre tener conto del margine di discrezionalità riconosciuto alle autorità. Gli interessati, invece, devono essere consapevoli di non poter imporre una sanzione al responsabile, ma di doversi affidare alla discrezionalità dell’autorità competente.
Prospettive e sviluppi in corso
La sentenza chiarisce i limiti della tutela individuale nell’ambito della protezione dei dati a livello europeo. In questo modo, il ruolo delle autorità di controllo risulta rafforzato, mentre l’attuazione di pretese individuali di risarcimento o l’irrogazione di sanzioni pecuniarie rimangono riservate a regolamentazioni speciali e a procedimenti giudiziari separati. Resta da vedere come i tribunali e le autorità nazionali daranno attuazione nella pratica a tale decisione e in quale misura si riterranno necessari adeguamenti nelle procedure relative ai reclami.
Per ulteriori domande relative al diritto della protezione dei dati, ai procedimenti amministrativi o alla prassi sanzionatoria, gli avvocati di MTR Legal sono a vostra disposizione con una consulenza legale esperta e molti anni di esperienza nel settore della protezione dei dati.
Fonte:
EuGH, Urteil vom 14.03.2024, C-768/21, https://curia.europa.eu/juris/document/document.jsf?docid=284844
