Art. 58 GDPR Poteri – Lorenzo Albertini

Importante regola affermata dalla Corte di Giustizia 14 marzo 2024, C-46/23,Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala contro Nemzeti Adatvédelmi és Információszabadság Hatóság.

Seppur desumibile con una certa sicurezza dall’articolato complessivo del GDPR, è comunque importante, poichè toglie di mezzo eventiuali dubbi su un aspetto assai significativo nella pratica e non posto in modo espresso.

Quesiti proposti dal giudice ungherese:

«1) Se l’articolo 58, paragrafo 2, in particolare le lettere c), d) e g), del [RGPD] debba essere interpretato nel senso che l’autorità nazionale di controllo può, nell’esercizio dei suoi poteri correttivi, ingiungere al titolare o al responsabile del trattamento di cancellare i dati personali trattati illecitamente anche in assenza di un’esplicita richiesta dell’interessato ai sensi dell’articolo 17, paragrafo 1, del [RGPD].

2) Nel caso in cui si risponda alla prima questione pregiudiziale che l’autorità di controllo può ingiungere al titolare del trattamento o al responsabile del trattamento di cancellare i dati personali trattati illecitamente, anche in assenza di richiesta dell’interessato, se ciò sia indipendente dal fatto che i dati personali siano stati raccolti o meno presso l’interessato».

Intepretazione della CG:

<<1) L’articolo 58, paragrafo 2, lettere d) e g), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che:

l’autorità di controllo di uno Stato membro è legittimata, nell’esercizio del suo potere di adozione delle misure correttive previste da tali disposizioni, a ordinare al titolare del trattamento o al responsabile del trattamento di cancellare dati personali che sono stati trattati illecitamente, e ciò anche qualora l’interessato non abbia presentato a tal fine alcuna richiesta di esercitare i suoi diritti in applicazione dell’articolo 17, paragrafo 1, di tale regolamento.

2) L’articolo 58, paragrafo 2, del regolamento 2016/679 deve essere interpretato nel senso che:

il potere dell’autorità di controllo di uno Stato membro di ordinare la cancellazione di dati personali che sono stati trattati illecitamente può riguardare sia dati raccolti presso l’interessato sia dati provenienti da un’altra fonte>>.

Il Garante privacy (GP) sospende Tik Tok a seguito della nota e triste vicenda della minorenne palermitana.

Si tratta del provvedimento n. 20 reg. provv. del 22.01.2021 [doc. web n. 9524194].

Già erano state contestate nel recente passato violazioni della privacy: v. provvedimento di dicembre 2020.

Nel provvedimento sospensivo del 22 gennaio le norme invoicate sono l’art. 66 (che però ha solo valenza di coordinamento con gli altri Stati), l’art. 58/2 lett. f (potere di emanare il rimedio) e l’art. 25/1 che impone al titolare del trattamento di adottare misure opportune per la protezione dei dati.

Il GP dunque sospende Tik Tok fino a che non predisponga metodi di verifica dell’età degli utenti (da vedere cosa esiste in proposito) e comunque al momento fino al 15 febbraio 2021.

Qui però il problema non è tanto il consapevole o meno consenso al trattamento dati da parte di un minore: v. art. 8 GDPR sul consenso degli infra sedicenni e pure consid. 38, 58 e 75 GDPR.

E’ invece il tipo di comunicazioni che i minori ricevono e cui prendono parte, cioè la consapevolezza della rischiosità: è una questione di capacità di intedere il senso e gl effetti di certi comportamenti. Il problema sussisterebbe anche se la comunicazione sui social avvenisse in forma anonima.