Privacy, il Garante può ordinare d’ufficio la cancellazione dei dati trattati illecitamente

SENTENZA DELLA CORTE (Quinta Sezione)

14 marzo 2024

«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 58, paragrafo 2, lettere d) e g) – Poteri dell’autorità di controllo di uno Stato membro – Articolo 17, paragrafo 1 – Diritto alla cancellazione (“diritto all’oblio”) – Cancellazione dei dati personali che sono stati trattati illecitamente – Potere dell’autorità nazionale di controllo di ordinare al titolare del trattamento o al responsabile del trattamento di cancellare tali dati senza previa richiesta dell’interessato»

Nella causa C-46/23,

avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dalla Fovárosi Törvényszék (Corte di Budapest-Capitale, Ungheria), con decisione dell’8 dicembre 2022, pervenuta in cancelleria il 31 gennaio 2023, nel procedimento

Budapest Fováros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala

contro

Nemzeti Adatvédelmi és Információszabadság Hatóság,

LA CORTE (Quinta Sezione),

composta da E. Regan, presidente di sezione, Z. Csehi, M. Ilešic (relatore), I. Jarukaitis e D. Gratsias, giudici,

avvocato generale: L. Medina

cancelliere: A. Calot Escobar

vista la fase scritta del procedimento,

considerate le osservazioni presentate:

–        per la Nemzeti Adatvédelmi és Információszabadság Hatóság, da G.J. Dudás, ügyvéd;

–        per il governo ungherese, da Zs. Biró-Tóth e M.Z. Fehér, in qualità di agenti;

–        per il governo spagnolo, da A. Ballesteros Panizo, in qualità di agente;

–        per il governo austriaco, da A. Posch, J. Schmoll e C. Gabauer, in qualità di agenti;

–        per il governo polacco, da B. Majczyna, in qualità di agente;

–        per il governo portoghese, da P. Barros da Costa, M.J. Ramos e C. Vieira Guerra, in qualità di agenti;

–        per la Commissione europea, da A. Bouchagiar, C. Kovács e H. Kranenborg, in qualità di agenti,

vista la decisione, adottata dopo aver sentito l’avvocato generale, di giudicare la causa senza conclusioni,

ha pronunciato la seguente

Sentenza

1        La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 58, paragrafo 2, lettere c), d) e g), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1, e rettifiche in GU 2016, L 314, pag. 72, GU 2018, L 127, pag. 3 e GU 2021, L 74, pag. 35) (in prosieguo: il «RGPD»).

2        Tale domanda è stata presentata nell’ambito di una controversia tra la Budapest Fováros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala (amministrazione municipale di Újpest – quarta circoscrizione di Budapest-Capitale, Ungheria) (in prosieguo: l’«amministrazione di Újpest») e la Nemzeti Adatvédelmi és Információszabadság Hatóság (autorità nazionale per la protezione dei dati e la libertà dell’informazione, Ungheria) (in prosieguo: l’«autorità ungherese di controllo») in merito a una decisione con cui quest’ultima ha ordinato all’amministrazione di Újpest di cancellare dati personali che sono stati trattati illecitamente.

 Contesto normativo

3        I considerando 1, 10 e 129 del RGPD sono così formulati:

«(1)      La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (...) e l’articolo 16, paragrafo 1, del [TFUE] stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

(...)

(10)      Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. (...)

(...)

(129)      Al fine di garantire un monitoraggio e un’applicazione coerenti del presente regolamento in tutta l’Unione, le autorità di controllo dovrebbero avere in ciascuno Stato membro gli stessi compiti e poteri effettivi, fra cui poteri di indagine, poteri correttivi e sanzionatori, e poteri autorizzativi e consultivi, segnatamente in caso di reclamo proposto da persone fisiche, e fatti salvi i poteri delle autorità preposte all’esercizio dell’azione penale ai sensi del diritto degli Stati membri, il potere di intentare un’azione e di agire in sede giudiziale o stragiudiziale in caso di violazione del presente regolamento. (...)».

4        Il capo I del RGPD, intitolato «Disposizioni generali», comprende gli articoli da 1 a 4 del medesimo.

5        Ai sensi dell’articolo 1, intitolato «Oggetto e finalità», di tale regolamento:

«1.      Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.

2.      Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.

(...)».

6        L’articolo 4, intitolato «Definizioni», di detto regolamento, ai punti 2, 7 e 21 prevede quanto segue:

«Ai fini del presente regolamento s’intende per:

(...)

2)      “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

(...)

7)      “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

(...)

21)      “autorità di controllo”: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51;

(...)».

7        Il capo II del RGPD, intitolato «Principi», contiene in particolare l’articolo 5 del medesimo, a sua volta intitolato «Principi applicabili al trattamento di dati personali», il quale così prevede:

«1.      I dati personali sono:

a)      trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);

b)      raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; (...) (“limitazione della finalità”);

c)      adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”);

(...)

2.      Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».

8        All’interno del capo III, intitolato «Diritti dell’interessato», del RGPD, l’articolo 17, a sua volta intitolato «Diritto alla cancellazione (“diritto all’oblio”)», di tale regolamento, al paragrafo 1 prevede quanto segue:

«L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

a)      i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;

b)      l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;

c)      l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;

d)      i dati personali sono stati trattati illecitamente;

(...)».

9        Il capo VI del RGPD, rubricato «Autorità di controllo indipendenti», comprende gli articoli da 51 a 59 del medesimo.

10      L’articolo 51, intitolato «Autorità di controllo», di tale regolamento, ai paragrafi 1 e 2 prevede quanto segue:

«1.      Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di controllare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione (...).

2.      Ogni autorità di controllo contribuisce alla coerente applicazione del presente regolamento in tutta l’Unione. A tale scopo, le autorità di controllo cooperano tra loro e con la Commissione [europea], conformemente al capo VII».

11      L’articolo 57, intitolato «Compiti», di detto regolamento, al paragrafo 1 è così formulato:

«1.      Fatti salvi gli altri compiti indicati nel presente regolamento, sul proprio territorio ogni autorità di controllo:

a)      sorveglia e assicura l’applicazione del presente regolamento;

(...)

h)      svolge indagini sull’applicazione del presente regolamento, anche sulla base di informazioni ricevute da un’altra autorità di controllo o da un’altra autorità pubblica;

(...)».

12      L’articolo 58, intitolato «Poteri», del medesimo regolamento, al paragrafo 2 dispone quanto segue:

«Ogni autorità di controllo ha tutti i poteri correttivi seguenti:

(...)

c)      ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i diritti loro derivanti dal presente regolamento,

d)      ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine;

(...)

g)      ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento a norma degli articoli 16, 17 e 18 e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali ai sensi dell’articolo 17, paragrafo 2, e dell’articolo 19;

(...)

i)      infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso;

(...)».

 Procedimento principale e questioni pregiudiziali

13      Nel febbraio 2020 l’amministrazione di Újpest ha deciso di fornire un aiuto finanziario ai residenti che appartenevano a una categoria di persone rese più fragili dalla pandemia di COVID-19 e che soddisfacevano determinate condizioni di ammissibilità.

14      A tal fine, essa si è rivolta al Magyar Államkincstár (erario ungherese) e al Budapest Fováros Kormányhivatala IV. Kerületi Hivatala (ufficio governativo del quarto distretto di Budapest-Capitale, Ungheria) (in prosieguo: l’«ufficio governativo»), al fine di ottenere i dati personali necessari alla verifica di tali condizioni di ammissibilità. Tali dati comprendevano in particolare i dati identificativi di base e i numeri di previdenza sociale delle persone fisiche. L’erario ungherese e l’ufficio governativo hanno comunicato i dati richiesti.

15      Ai fini del versamento dell’aiuto finanziario, l’amministrazione di Újpest ha adottato l’az Újpest+ Megbecsülés Program bevezetésérol szóló 16/2020. (IV. 30.) önkormányzati rendelet [decreto municipale n. 16/2020. (IV. 30.), relativo all’introduzione del programma Újpest+ Megbecsülés], che è stato modificato e integrato dal 30/2020. (VII. 15.) önkormányzati rendelet [decreto municipale n. 30/2020. (VII. 15)]. Tali decreti contenevano i criteri di ammissibilità all’aiuto così stabilito. L’amministrazione di Újpest ha aggregato i dati ottenuti in una banca dati concepita ai fini dell’attuazione del suo programma di aiuti e ha creato un identificativo e un codice a barre specifico per ogni serie di dati.

16      Avvertita da una segnalazione, l’autorità ungherese di controllo ha avviato d’ufficio, il 2 settembre 2020, un’indagine relativa al trattamento dei dati personali su cui si basava il suddetto programma di aiuti. In una decisione adottata il 22 aprile 2021 tale autorità ha constatato che l’amministrazione di Újpest aveva violato varie disposizioni degli articoli 5 e 14 del RGPD nonché l’articolo 12, paragrafo 1, del medesimo. Essa ha rilevato, in particolare, che l’amministrazione di Újpest non aveva informato gli interessati, entro il termine di un mese, delle categorie di dati personali trattate nell’ambito di tale programma, delle finalità del trattamento in questione, né delle modalità con cui tali interessati potevano esercitare i loro diritti al riguardo.

17      L’autorità ungherese di controllo ha ordinato all’amministrazione di Újpest, in forza dell’articolo 58, paragrafo 2, lettera d), del RGPD, di cancellare i dati personali degli interessati che, sulla base delle informazioni fornite dall’ufficio governativo e dall’erario ungherese, avrebbero sicuramente avuto diritto a tale aiuto, ma non l’avevano richiesto. Essa ha ritenuto che sia l’erario ungherese sia l’ufficio governativo avessero violato le disposizioni relative al trattamento dei dati personali di detti interessati. Essa ha inoltre inflitto sia all’amministrazione di Újpest sia all’erario ungherese una sanzione pecuniaria a titolo della protezione dei dati.

18      Con ricorso amministrativo giurisdizionale, proposto dinanzi alla Fovárosi Törvényszék (Corte di Budapest-Capitale, Ungheria), giudice del rinvio, l’amministrazione di Újpest contesta la decisione dell’autorità ungherese di controllo, facendo valere che quest’ultima non ha il potere di ordinare la cancellazione dei dati personali, in forza dell’articolo 58, paragrafo 2, lettera d), del RGPD, in assenza di una richiesta presentata dall’interessato, ai sensi dell’articolo 17 di tale regolamento. Al riguardo, essa si basa sulla sentenza Kfv.II.37.001/2021/6. della Kúria (Corte suprema, Ungheria), con cui quest’ultima avrebbe statuito che l’autorità ungherese di controllo non disponeva di un simile potere, confermando così una sentenza del giudice del rinvio. Secondo la ricorrente nel procedimento principale, il diritto alla cancellazione, previsto all’articolo 17 di detto regolamento, è concepito esclusivamente come un diritto dell’interessato.

19      A seguito di un ricorso costituzionale proposto dall’autorità ungherese di controllo, l’Alkotmánybíróság (Corte costituzionale, Ungheria) ha annullato la suddetta sentenza della Kúria (Corte suprema), dichiarando che tale autorità ha il diritto di ordinare d’ufficio la cancellazione dei dati personali che sono stati trattati illecitamente, anche in assenza di una richiesta presentata dall’interessato. L’Alkotmánybíróság (Corte costituzionale) si è basata al riguardo sul parere n. 39/2021 del comitato europeo per la protezione dei dati secondo il quale l’articolo 17 del RGPD prevede due ipotesi di cancellazione distinte, l’una relativa alla cancellazione su richiesta dell’interessato, e l’altra consistente in un obbligo autonomo del titolare del trattamento, di modo che l’articolo 58, paragrafo 2, lettera g), del RGPD dovrebbe essere considerato una base giuridica valida ai fini della cancellazione d’ufficio di dati personali trattati illecitamente.

20      A seguito della decisione dell’Alkotmánybíróság (Corte costituzionale) di cui al punto precedente, il giudice del rinvio continua a nutrire dubbi per quanto riguarda l’interpretazione dell’articolo 17 e dell’articolo 58, paragrafo 2, del RGPD. Esso ritiene che il diritto alla cancellazione dei dati personali sia definito all’articolo 17, paragrafo 1, del RGPD come un diritto dell’interessato e che tale disposizione non comprenda due distinte ipotesi di cancellazione.

21      Tale giudice aggiunge che una persona può avere interesse a che i dati personali che la riguardano siano trattati, anche qualora l’autorità di controllo ordini al titolare del trattamento la cancellazione dei suddetti dati a motivo dell’illiceità del trattamento. In tal caso, detta autorità eserciterebbe il diritto di tale persona contro la volontà della medesima.

22      Il giudice del rinvio intende quindi stabilire se, indipendentemente dal fatto che l’interessato eserciti il proprio diritto, l’autorità di controllo di uno Stato membro possa obbligare il titolare del trattamento o il responsabile del trattamento a cancellare i dati personali che sono stati trattati illecitamente e, in caso affermativo, su quale base giuridica, tenuto conto in particolare del fatto che l’articolo 58, paragrafo 2, lettera c), del RGPD prevede espressamente una richiesta presentata da tale interessato al fine di esercitare i propri diritti e che l’articolo 58, paragrafo 2, lettera d), di tale regolamento prevede in termini generali di conformare i trattamenti alle disposizioni di detto regolamento, mentre l’articolo 58, paragrafo 2, lettera g), rinvia direttamente all’articolo 17 del medesimo, la cui applicazione esigerebbe una richiesta esplicita dell’interessato.

23      Nel caso in cui l’autorità nazionale di controllo possa, nonostante l’assenza di richiesta dell’interessato, ordinare al titolare del trattamento o al responsabile del trattamento di cancellare i dati personali che sono stati trattati illecitamente, il giudice del rinvio chiede se, al momento di ordinare la cancellazione, sia possibile operare una distinzione a seconda che i dati personali siano stati raccolti presso l’interessato, tenuto conto dell’obbligo del titolare del trattamento di cui all’articolo 13, paragrafo 2, lettera b), del RGPD, o presso un’altra persona, in relazione all’obbligo di cui all’articolo 14, paragrafo 2, lettera c), di tale regolamento.

24      In tali circostanze, la Fovárosi Törvényszék (Corte di Budapest-Capitale) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1)      Se l’articolo 58, paragrafo 2, in particolare le lettere c), d) e g), del [RGPD] debba essere interpretato nel senso che l’autorità nazionale di controllo può, nell’esercizio dei suoi poteri correttivi, ingiungere al titolare o al responsabile del trattamento di cancellare i dati personali trattati illecitamente anche in assenza di un’esplicita richiesta dell’interessato ai sensi dell’articolo 17, paragrafo 1, del [RGPD].

2)      Nel caso in cui si risponda alla prima questione pregiudiziale che l’autorità di controllo può ingiungere al titolare del trattamento o al responsabile del trattamento di cancellare i dati personali trattati illecitamente, anche in assenza di richiesta dell’interessato, se ciò sia indipendente dal fatto che i dati personali siano stati raccolti o meno presso l’interessato».

 Sulle questioni pregiudiziali

 Sulla prima questione

25      Con la sua prima questione, il giudice del rinvio chiede se l’articolo 58, paragrafo 2, lettere c), d) e g), del RGPD debba essere interpretato nel senso che l’autorità di controllo di uno Stato membro è legittimata, nell’esercizio del suo potere di adozione delle misure correttive previste da tali disposizioni, a ordinare al titolare del trattamento o al responsabile del trattamento di cancellare dati personali che sono stati trattati illecitamente, e ciò anche qualora l’interessato non abbia presentato a tal fine alcuna richiesta di esercitare i suoi diritti in applicazione dell’articolo 17, paragrafo 1, di tale regolamento.

26      Tale questione si inserisce nel contesto di una controversia vertente sulla legittimità di una decisione dell’autorità ungherese di controllo che ordina all’amministrazione di Újpest, in forza dell’articolo 58, paragrafo 2, lettera d), del RGPD, di cancellare i dati personali che sono stati trattati illecitamente nell’ambito del programma di aiuti descritto ai punti da 13 a 15 della presente sentenza.

27      Conformemente all’articolo 17, paragrafo 1, lettera d), del RGPD, l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali se sono stati «trattati illecitamente».

28      Ai sensi dell’articolo 58, paragrafo 2, lettera d), del RGPD, l’autorità di controllo può ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni di tale regolamento, se del caso, in una determinata maniera ed entro un determinato termine. Inoltre, l’articolo 58, paragrafo 2, lettera g), di detto regolamento prevede che l’autorità di controllo ha il potere di ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento a norma degli articoli 16, 17 e 18 di tale regolamento, nonché la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali ai sensi dell’articolo 17, paragrafo 2, e dell’articolo 19 del medesimo regolamento.

29      In tale contesto, il giudice del rinvio si chiede se l’autorità di controllo di uno Stato membro sia legittimata, nell’esercizio del suo potere di adottare misure correttive, come quelle previste all’articolo 58, paragrafo 2, lettere c), d) e g), del RGPD, a ordinare d’ufficio, ossia in assenza di una previa richiesta presentata a tal fine dall’interessato, al titolare del trattamento o al responsabile del trattamento di cancellare dati personali che sono stati trattati illecitamente.

30      Conformemente a una giurisprudenza costante, per interpretare una norma di diritto dell’Unione si deve tener conto non soltanto della lettera della stessa, ma anche del suo contesto e degli scopi perseguiti dalla normativa di cui essa fa parte (sentenza del 13 luglio 2023, G GmbH, C-134/22, EU:C:2023:567, punto 25 e giurisprudenza citata).

31      In via preliminare, occorre rilevare che le disposizioni pertinenti del diritto dell’Unione, menzionate ai punti 27 e 28 della presente sentenza, devono essere lette in combinato disposto con l’articolo 5, paragrafo 1, del RGPD, che enuncia i principi relativi al trattamento dei dati personali e tra i quali figura in particolare, alla lettera a), il principio che prevede che i dati personali debbano essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato.

32      Ai sensi del paragrafo 2 di tale articolo 5, il titolare del trattamento, conformemente al principio di «responsabilizzazione» previsto da tale disposizione, è competente per il rispetto del paragrafo 1 di detto articolo 5 ed è in grado di comprovare di aver rispettato tutti i principi ivi sanciti, prova il cui onere è inoltre a suo carico [sentenza del 4 maggio 2023, Bundesrepublik Deutschland (Casella di posta elettronica degli uffici giudiziari), C-60/22, EU:C:2023:373, punto 53 e giurisprudenza citata].

33      Qualora il trattamento di dati personali non soddisfi i principi previsti in particolare all’articolo 5 del RGPD, le autorità di controllo degli Stati membri sono autorizzate a intervenire, conformemente ai loro compiti e poteri, previsti agli articoli 57 e 58 di tale regolamento. Tali compiti comprendono, in particolare, sorvegliare e assicurare l’applicazione di tale regolamento, ai sensi dell’articolo 57, paragrafo 1, lettera a), del medesimo (v., in tal senso, sentenza del 16 luglio 2020, Facebook Ireland e Schrems, C-311/18, EU:C:2020:559, punto 108).

34      Al riguardo, la Corte ha già precisato che, qualora un’autorità nazionale di controllo ritenga, al termine della sua indagine, che l’interessato non gode di un livello di protezione adeguato, è tenuta, in applicazione del diritto dell’Unione, a reagire in modo appropriato al fine di porre rimedio all’inadeguatezza constatata, e ciò indipendentemente dall’origine o dalla natura di tale inadeguatezza. A tal fine, l’articolo 58, paragrafo 2, del RGPD elenca le diverse misure correttive che l’autorità di controllo può adottare. Spetta a tale autorità di controllo scegliere il mezzo appropriato al fine di assolvere al suo compito di vigilare sul pieno rispetto di tale regolamento con tutta la diligenza richiesta (v., in tal senso, sentenza del 16 luglio 2020, Facebook Ireland e Schrems, C-311/18, EU:C:2020:559, punti 111 e 112).

35      Per quanto riguarda, più in particolare, la questione di stabilire se simili misure correttive possano essere adottate d’ufficio dall’autorità di controllo di cui trattasi, occorre rilevare anzitutto che, alla luce della sua formulazione, l’articolo 58, paragrafo 2, del RGPD opera una distinzione tra le misure correttive che possono essere disposte d’ufficio, in particolare quelle di cui all’articolo 58, paragrafo 2, lettere d) e g), e quelle che possono essere adottate solo a seguito di una richiesta presentata dall’interessato al fine di esercitare i suoi diritti in applicazione di tale regolamento, quali previste all’articolo 58, paragrafo 2, lettera c), di detto regolamento.

36      Infatti, da un lato, risulta espressamente dalla formulazione dell’articolo 58, paragrafo 2, lettera c), del RGPD che l’adozione della misura correttiva di cui a tale disposizione, vale a dire «ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i diritti loro derivanti dal presente regolamento», presuppone che, in via preliminare, l’interessato abbia fatto valere i propri diritti presentando una richiesta in tal senso e che tale richiesta non sia stata accolta prima della decisione dell’autorità di controllo prevista da detta disposizione. Dall’altro lato, a differenza di tale disposizione, la formulazione dell’articolo 58, paragrafo 2, lettere d) e g), di tale regolamento non consente di ritenere che un intervento dell’autorità di controllo di uno Stato membro, al fine di applicare le misure ivi previste, sia limitato ai soli casi in cui l’interessato abbia presentato una richiesta a tal fine, dato che detta formulazione non contiene alcun riferimento a una simile richiesta.

37      Per quanto riguarda poi il contesto di tali disposizioni, occorre rilevare che i termini dell’articolo 17, paragrafo 1, di tale regolamento distinguono, mediante la congiunzione coordinativa «e», da un lato, il diritto dell’interessato di ottenere dal titolare del trattamento la cancellazione, senza ingiustificato ritardo, dei dati che lo riguardano e, dall’altro, l’obbligo del titolare del trattamento di cancellare senza ingiustificato ritardo tali dati personali. Se ne deve dedurre che tale disposizione disciplina due ipotesi indipendenti, vale a dire, da un lato, la cancellazione dei dati su richiesta dell’interessato e, dall’altro, la cancellazione derivante dall’esistenza di un obbligo autonomo, gravante sul titolare del trattamento, e ciò indipendentemente da qualsiasi richiesta dell’interessato.

38      Infatti, come rilevato dal comitato europeo per la protezione dei dati, nel suo parere n. 39/2021, una simile distinzione è necessaria dato che, tra le fattispecie previste da tale articolo 17, paragrafo 1, alcune comprendono situazioni in cui l’interessato non è stato necessariamente informato del fatto che dati personali che lo riguardano sono trattati, cosicché il titolare del trattamento è l’unico a poterne constatare l’esistenza. Ciò si verifica, in particolare, nella situazione in cui tali dati siano stati trattati illecitamente, prevista al suddetto articolo 17, paragrafo 1, lettera d).

39      Tale interpretazione è corroborata dall’articolo 5, paragrafo 2, del RGPD, in combinato disposto con il paragrafo 1, lettera a), di tale articolo 5, in forza del quale il titolare del trattamento deve garantire, in particolare, la liceità del trattamento dei dati da esso effettuato [v., in tal senso, sentenza del 4 maggio 2023, Bundesrepublik Deutschland (Casella di posta elettronica degli uffici giudiziari), C-60/22, EU:C:2023:373, punto 54].

40      Infine, una simile interpretazione è altresì corroborata dall’obiettivo perseguito dall’articolo 58, paragrafo 2, del RGPD, quale risulta dal considerando 129 di quest’ultimo, vale a dire garantire la conformità del trattamento dei dati personali a tale regolamento nonché il ripristino di situazioni di violazione di quest’ultimo per renderle conformi al diritto dell’Unione, grazie all’intervento delle autorità nazionali di controllo.

41      Al riguardo, occorre precisare che, benché la scelta del mezzo appropriato e necessario spetti all’autorità di controllo e questa debba fare tale scelta prendendo in considerazione tutte le circostanze del caso di specie, detta autorità è comunque tenuta ad assolvere al suo compito di vigilare sul pieno rispetto del RGPD con tutta la diligenza richiesta (v., in tal senso, sentenza del 16 luglio 2020, Facebook Ireland e Schrems, C-311/18, EU:C:2020:559, punto 112). Pertanto, al fine di garantire un’applicazione effettiva del RGPD, è particolarmente importante che tale autorità disponga dei poteri effettivi al fine di agire efficacemente contro le violazioni di tale regolamento e, in particolare, di porvi fine, anche nei casi in cui gli interessati non siano informati del trattamento dei loro dati personali, non ne siano a conoscenza o non abbiano, in ogni caso, chiesto la cancellazione di tali dati.

42      In tali circostanze, si deve ritenere che il potere di adottare alcune delle misure correttive di cui all’articolo 58, paragrafo 2, del RGPD, in particolare quelle di cui alle lettere d) e g) di tale disposizione, possa essere esercitato d’ufficio dall’autorità di controllo di uno Stato membro nei limiti in cui l’esercizio d’ufficio di tale potere è richiesto per consentirle di adempiere il suo compito. Pertanto, qualora detta autorità ritenga, al termine della sua indagine, che tale trattamento non soddisfi i requisiti di tale regolamento, essa è tenuta, in applicazione del diritto dell’Unione, ad adottare le misure appropriate al fine di porre rimedio alla violazione constatata, e ciò indipendentemente dall’esistenza di una previa richiesta presentata dall’interessato al fine di esercitare i suoi diritti in applicazione dell’articolo 17, paragrafo 1, di detto regolamento.

43      Una simile interpretazione è inoltre corroborata dagli obiettivi perseguiti dal RGPD, quali risultano in particolare dal suo articolo 1 nonché dai suoi considerando 1 e 10, che fanno riferimento alla garanzia di un livello elevato di protezione per quanto riguarda il diritto fondamentale delle persone fisiche alla protezione dei dati personali che le riguardano, sancito all’articolo 8, paragrafo 1, della Carta dei diritti fondamentali e all’articolo 16, paragrafo 1, TFUE (v., in tal senso, sentenze del 6 ottobre 2020, La Quadrature du Net e a., C-511/18, C-512/18 e C-520/18, EU:C:2020:791, punto 207, nonché del 28 aprile 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, punto 73).

44      Un’interpretazione contraria a quella accolta al punto 42 della presente sentenza, secondo la quale una simile autorità di controllo sarebbe legittimata ad agire solo a seguito di una richiesta presentata a tal fine dall’interessato, comprometterebbe la realizzazione degli obiettivi ricordati ai punti 40 e 43 della presente sentenza, in particolare, in una situazione come quella di cui al procedimento principale, in cui la cancellazione di dati personali che sono stati trattati illecitamente riguarda un numero potenzialmente elevato di persone che non hanno fatto valere il loro diritto alla cancellazione, in applicazione dell’articolo 17, paragrafo 1, del RGPD.

45      Infatti, come sostanzialmente fatto valere dalla Commissione nelle sue osservazioni scritte, il requisito di una previa richiesta presentata dagli interessati, ai sensi dell’articolo 17, paragrafo 1, del RGPD, significherebbe che il titolare del trattamento potrebbe, in assenza di una simile richiesta, conservare i dati personali in questione e continuare a trattarli illecitamente. Una simile interpretazione nuocerebbe all’effettività della protezione prevista da tale regolamento, in quanto porterebbe a privare di protezione le persone inattive sebbene i loro dati personali siano stati trattati illecitamente.

46      Alla luce delle considerazioni che precedono, occorre rispondere alla prima questione dichiarando che l’articolo 58, paragrafo 2, lettere c), d) e g), del RGPD deve essere interpretato nel senso che l’autorità di controllo di uno Stato membro è legittimata, nell’esercizio del suo potere di adozione delle misure correttive previste da tali disposizioni, a ordinare al titolare del trattamento o al responsabile del trattamento di cancellare dati personali che sono stati trattati illecitamente, e ciò anche qualora l’interessato non abbia presentato a tal fine alcuna richiesta di esercitare i suoi diritti in applicazione dell’articolo 17, paragrafo 1, del RGPD.

 Sulla seconda questione

47      Con la sua seconda questione, il giudice del rinvio chiede sostanzialmente se l’articolo 58, paragrafo 2, del RGPD debba essere interpretato nel senso che il potere dell’autorità di controllo di uno Stato membro di ordinare la cancellazione di dati personali che sono stati trattati illecitamente può riguardare sia dati raccolti presso l’interessato sia dati provenienti da un’altra fonte.

48      Al riguardo, occorre rilevare, anzitutto, che il tenore letterale delle disposizioni menzionate al punto precedente non contiene alcuna indicazione che lasci intendere che il potere dell’autorità di controllo di adottare le misure correttive ivi elencate dipenderebbe dall’origine dei dati di cui trattasi e, in particolare, dalla circostanza che essi siano stati raccolti presso l’interessato.

49      Analogamente, la formulazione dell’articolo 17, paragrafo 1, del RGPD, che, come risulta dal punto 37 della presente sentenza, stabilisce un obbligo autonomo, per il titolare del trattamento, di cancellare i dati personali che sono stati trattati illecitamente, non include alcun requisito relativo all’origine dei dati raccolti.

50      Inoltre, come risulta dai punti 41 e 42 della presente sentenza, è necessario, al fine di garantire un’applicazione effettiva e coerente del RGPD, che l’autorità nazionale di controllo disponga di poteri effettivi al fine di agire efficacemente contro le violazioni di tale regolamento. Pertanto, il potere di adottare misure correttive, come stabilito all’articolo 58, paragrafo 2, lettere d) e g), del RGPD, non può dipendere dall’origine dei dati di cui trattasi e, in particolare, dalla circostanza che essi siano stati raccolti presso l’interessato.

51      Di conseguenza, si deve ritenere, al pari di tutti i governi che hanno depositato osservazioni scritte e della Commissione, che l’esercizio del potere di adottare misure correttive, ai sensi dell’articolo 58, paragrafo 2, lettere d) e g), del RGPD, non possa dipendere dal fatto che i dati personali in questione siano stati o meno raccolti direttamente presso l’interessato.

52      Una simile interpretazione è altresì corroborata dagli obiettivi perseguiti dal RGPD, in particolare dall’articolo 58, paragrafo 2, di tale regolamento, ricordati ai punti 40 e 43 della presente sentenza.

53      Alla luce delle considerazioni che precedono, occorre rispondere alla seconda questione dichiarando che l’articolo 58, paragrafo 2, del RGPD deve essere interpretato nel senso che il potere dell’autorità di controllo di uno Stato membro di ordinare la cancellazione di dati personali che sono stati trattati illecitamente può riguardare sia dati raccolti presso l’interessato sia dati provenienti da un’altra fonte.

 Sulle spese

54      Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Quinta Sezione) dichiara:

1)      L’articolo 58, paragrafo 2, lettere d) e g), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),

deve essere interpretato nel senso che:

l’autorità di controllo di uno Stato membro è legittimata, nell’esercizio del suo potere di adozione delle misure correttive previste da tali disposizioni, a ordinare al titolare del trattamento o al responsabile del trattamento di cancellare dati personali che sono stati trattati illecitamente, e ciò anche qualora l’interessato non abbia presentato a tal fine alcuna richiesta di esercitare i suoi diritti in applicazione dell’articolo 17, paragrafo 1, di tale regolamento.

2)      L’articolo 58, paragrafo 2, del regolamento 2016/679

deve essere interpretato nel senso che:

il potere dell’autorità di controllo di uno Stato membro di ordinare la cancellazione di dati personali che sono stati trattati illecitamente può riguardare sia dati raccolti presso l’interessato sia dati provenienti da un’altra fonte.

Firme

* Lingua processuale: l’ungherese.