Un cliente di una Cassa di Risparmio ha chiesto al commissario per la protezione dei dati e la libertà d’informazione del Land Assia (Germania) di intervenire nei confronti della Cassa di Risparmio a causa di una violazione dei suoi dati personali. Infatti, una delle dipendenti della Cassa di Risparmio aveva ripetutamente consultato i suoi dati senza esservi autorizzata.
Il commissario per la protezione dei dati ha riscontrato una violazione della protezione dei dati ai sensi del regolamento generale sulla protezione dei dati (RGPD). Tuttavia, ha concluso che non occorreva intervenire nei confronti della Cassa di Risparmio, che aveva già adottato misure disciplinari nei confronti della dipendente in questione.
Il cliente impugna tale rifiuto dinanzi a un giudice tedesco, chiedendogli di ingiungere al commissario per la protezione dei dati di intervenire nei confronti della Cassa di Risparmio. Egli sostiene, in particolare, che il Commissario per la protezione dei dati avrebbe dovuto infliggere sanzioni pecuniarie alla Cassa di Risparmio.
L’avvocato generale Priit Pikamäe ritiene che l’autorità di controllo abbia l’obbligo di intervenire quando rileva una violazione dei dati personali in sede di esame di un reclamo. Essa sarebbe, in particolare, tenuta a determinare la o le misure correttive più appropriate per porre rimedio alla violazione e far rispettare i diritti dell’interessato. A tal proposito, pur lasciando un certo potere discrezionale all’autorità di controllo, il RGPD richiederebbe che tali misure siano appropriate, necessarie e proporzionate.
Ne deriverebbe, da un lato, una limitazione del potere discrezionale nella scelta dei mezzi quando la protezione richiesta può essere garantita solo adottando determinate misure, e dall’altro la possibilità, a determinate condizioni, per l’autorità di controllo di rinunciare alle misure elencate nel RGPD quando ciò sia giustificato dalle circostanze specifiche del singolo caso. In particolare, ciò potrebbe avvenire nel caso in cui il titolare del trattamento abbia adottato determinate misure di propria iniziativa. In ogni caso, l’interessato non avrebbe il diritto di esigere l’adozione di una determinata misura.
Tali principi si applicherebbero anche al regime delle sanzioni amministrative pecuniarie.