Lo scorso 14 marzo la Corte di Giustizia dell’Unione europea (quinta sezione) si è pronunciata in merito alla domanda pregiudiziale, presentata, ai sensi dell’articolo 267 TFUE, dal Fővárosi Törvényszék (Corte di Budapest-Capitale, Ungheria) nella causa C-46/23, relativa all’interpretazione dell’articolo 58, paragrafo 2, lettere c), d) e g), del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di essi.

Per meglio comprendere l’interesse sollevato intorno alla pronuncia della Corte, giova rammentare il perimentro entro cui si muove. Nel febbraio 2020 l’amministrazione comunale di Újpest (Ungheria) decideva di fornire aiuti finanziari ai residenti che appartenevano a una categoria di persone ritenute più fragili a seguito della pandemia di COVID-19 e soddisfacevano determinate condizioni di ammissibilità. Al fine di verificare l’effettivo godimento di tali condizioni, chiedeva al Magyar Államkincstár (Erario ungherese) e al Budapest Főváros Kormányhivatala IV. Kerületi Hivatala (Ufficio governativo del quarto Distretto di Budapest-Capitale) e otteneva i dati personali, nel dettaglio, dati identificativi di base e numeri di previdenza sociale, delle persone fisiche interessate, che provvedeva ad aggregare in una banca dati creata ai fini dell’attuazione del programma di aiuti stabilito.

Il 2 settembre 2020, l’autorità ungherese di controllo, avvertita da una segnalazione, avviava d’ufficio una indagine relativa al trattamento dei dati personali su cui si basava l’iniziativa in questione e con decisione adottata in data 22 aprile 2020, ritenendo che l’amministrazione avesse violato diverse disposizioni degli articoli 5 e 14 del RGPD nonché l’articolo 12, paragrafo 1, dello stesso, le ordinava, ai sensi dell’articolo 58 paragrafo 2, lettera d), del RGPD, la cancellazione dei dati personali degli interessati che, pur avendo, sulla base dell’analisi di tali dati, il diritto di richiedere l’aiuto, non avevano richiesto di ottenerlo.

L’amministrazione di Újpest, ricorrendo dinanzi la Corte di Budapest-Capitale, giudice del rinvio, contestava la decisione dell’autorità di controllo ungherese, ritenendo che essa non avesse il potere di ordinare la cancellazione dei dati d’ufficio – in assenza di una richiesta in tal senso dell’interessato ai sensi dell’articolo 17 del RGPD – ma che un simile diritto spettasse esclusivamente in capo all’interessato, richiamando, in tal senso, una sentenza della Fővárosi Törvényszék, confermata dalla Kùria (Corte Suprema), Kfv. II 37.001/2021/6.

Nel corso del procedimento amministrativo giurisdizionale, il giudice rilevava la necessità di interpretare la normativa europea in materia, sulla base di alcune considerazioni. Riteneva, innanzitutto, come la prassi della autorità di controllo ungherese risultasse non chiara, dal momento che, nelle decisioni precedenti, ai fini di stabilire d’ufficio la cancellazione dei dati personali trattati illecitamente, individuava, come base giuridica, disposizioni differenti del Regolamento in questione o non indicava alcuna normativa di riferimento.

Rilevava, inoltre, che, a seguito di un ricorso costituzionale proposto dall’autorità di controllo, la Corte costituzionale ungherese avesse annullato la già menzionata sentenza della Kùria, richiamando, al riguardo, il parere n. 39/2021 del Comitato europeo per la protezione dei dati, che individuava nell’articolo 17 del RGPD due distinte ipotesi di cancellazione, la prima relativa alla cancellazione su richiesta dell’interessato, la seconda riguardante un obbligo autonomo del titolare del trattamento (si veda: parere del Comitato europeo per la protezione dei dati n. 39/2021 del 14 dicembre 2021).

In tal senso, veniva affermato, ai sensi dell’articolo 17 del RGPD, un obbligo posto in capo al titolare del trattamento.

Alla luce di tali considerazioni, il giudice del rinvio continuava a nutrire dubbi sull’interpretazione dell’articolo 17 e dell’articolo 58 paragrafo 2 del RGPD, sostenendo che il diritto alla cancellazione dei dati personali fosse definito all’articolo 17 paragrafo 1, del RGPD come diritto esclusivamente dell’interessato, contrariamente a quanto affermato dal Comitato europeo prima e dalla Corte costituzionale ungherese poi.

Per tali ragioni, veniva sollevata una domanda di pronuncia pregiudiziale davanti alla Corte di giustizia dell’Unione europea, relativamente alle modalità di interpretazione dell’articolo 17, paragrafo 1, del RGPD, in combinato disposto con l’articolo 58, paragrafo 2, dello stesso, formulando le seguenti questioni pregiudiziali: se l’articolo 58, paragrafo 2, lettere c), d) e g), del RGPD debba essere interpretato nel senso che l’autorità nazionale di controllo può, nell’esercizio dei suoi poteri correttivi, ingiungere al titolare o al responsabile del trattamento di cancellare i dati personali trattati illecitamente anche in assenza di un’esplicita richiesta dell’interessato ai sensi dell’articolo 17, paragrafo 1, del RGPD;  Nel caso in cui si risponda alla prima questione pregiudiziale positivamente, se ciò sia indipendente dal fatto che i dati personali siano stati raccolti o meno presso l’interessato.

La Corte di giustizia dell’Unione europea, investita della questione, si è pronunciata il 14 marzo 2024 (si veda: sentenza del 14 marzo 2024, Rinvio pregiudiziale nella causa C- 46/23, ECLI:EU:C:2024:239).

Relativamente alla prima questione pregiudiziale, i giudici di Lussemburgo hanno preliminarmente sottolineato come le norme di diritto dell’Unione europea, debbano, conformemente a una giurisprudenza costante, essere lette con riguardo al contesto e agli scopi perseguiti dalla normativa di cui sono parti. Per tale ragione, risulta necessario analizzare le disposizioni di cui agli articoli 17 paragrafo 1, lettera d) e 58, paragrafo 2, lettera d) del RGPD in combinato disposto con l’articolo 5 del RGPD, che, al paragrafo 1, prevede che i dati personali debbano essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato e, al paragrafo 2, che il titolare del trattamento è tenuto a farli rispettare.

Pertanto, nel momento in cui il trattamento dei dati personali non soddisfi i principi di cui all’articolo 5 del Regolamento in esame, le autorità di controllo degli Stati membri sono tenute ad intervenire, conformemente ai loro compiti e doveri e, a seguito di indagine, a reagire, adottando la misura correttiva adeguata, con tutta la diligenza richiesta (v. punti 33-34 della sentenza, che a sua volta richiama la sentenza della Corte del 16 luglio 2020, Data Protection Commissioner c. Facebook Ireland Ltd, Maximillian Schrems, ECLI:EU:C:2020:559).

In aggiunta, richiamando il già citato parere del Comitato europeo sulla protezione dei dati, la Corte ha ricordato come dall’articolo 17, paragrafo 1, del RGPD, derivino due ipotesi indipendenti: da un lato, il diritto dell’interessato di ottenere dal titolare del trattamento la cancellazione dei dati che lo riguardano, senza giustificato ritardo, dall’altro, l’obbligo in capo al titolare del trattamento di cancellare tali dati, senza giustificato ritardo. Quest’ultima ipotesi – specifica la Corte di giustizia – risulta necessaria per tutelare gli interessati nei casi in cui non siano stati informati del trattamento dei dati personali che li riguardano, tanto più qualora questi ultimi vengano trattati illecitamente (v. punto 38 della sentenza).

Pertanto, seguendo tale ragionamento, la Corte, chiarisce che le misure correttive di cui alle lettere d) e g) del paragrafo 2, dell’articolo 58 del RGPD – anche in ragione della formulazione letterale – possono essere adottate da parte dell’autorità di controllo indipendentemente da una richiesta in tal senso dell’interessato, «nei limiti in cui l’esercizio d’ufficio di tale potere è richiesto per consentirle di adempiere il suo compito», dunque al fine di garantire una corretta applicazione del Regolamento e, di conseguenza, una effettiva tutela dei dati personali trattati (v. punti 36-42 della sentenza).

Una simile interpretazione è infine corroborata dall’esplicito rimando agli obiettivi perseguiti dal RGPD, i quali si basano sulla garanzia di «un livello elevato di protezione per quanto riguarda il diritto fondamentale delle persone fisiche alla protezione dei dati personali che le riguardano» (v. punto 43 della sentenza). Difatti, secondo l’opinione dei giudici di Lussemburgo, una soluzione del quesito posto, diversa da quella accolta al punto 42 della sentenza in esame, avrebbe compromesso, la tutela di tali obiettivi, in quanto, il requisito di una previa richiesta da parte dell’interessato, permetterebbe, al titolare del trattamento, in assenza di richiesta, di conservare e continuare a trattare illecitamente i dati personali della persona interessata.

Per quanto invece concerne la seconda questione pregiudiziale, la Corte di giustizia, ha nuovamente posto l’attenzione sulla necessità di una applicazione effettiva del RGPD e, quindi, di una tutela concreta nei confronti degli interessati e dei loro dati personali trattati.

Conscia del silenzio dell’articolo 58, paragrafo, lettere c), d) e g) sul tema, ha ritenuto che il potere dell’autorità di controllo di uno Stato membro di ordinare la cancellazione dei dati personali trattati illecitamente sia indipendente dal fatto che essi siano stati raccolti presso l’interessato o che siano provenienti da un’altra fonte.

Alla luce delle considerazioni suesposte, dunque, i giudici di Lussemburgo hanno concluso che l’articolo 58, paragrafo 2, lettere d) e g), del RGPD debba essere interpretato nel senso di legittimare l’autorità di controllo di uno Stato membro ad ordinare al titolare del trattamento ovvero al responsabile di esso, la cancellazione dei dati personali trattati illecitamente, anche nell’ipotesi di inerzia dell’interessato e indipendentemente dal fatto che i dati siano stati raccolti presso l’interessato o siano provenienti da un’altra fonte.

Pertanto, la Corte di giustizia dell’UE, facendo chiarezza circa i poteri che le autorità di controllo dei singoli Stati membri possono esercitare, sembra portare ad un rafforzamento del loro ruolo ai fini del rispetto del Regolamento in esame e della tutela dei diritti in esso sanciti.