Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala v Nemzeti Adatvédelmi és Információszabadság Hatóság.
Jurisdiction | European Union |
ECLI | ECLI:EU:C:2024:239 |
Date | 14 March 2024 |
Docket Number | C-46/23 |
Celex Number | 62023CJ0046 |
Court | Court of Justice (European Union) |
Edizione provvisoria
SENTENZA DELLA CORTE (Quinta Sezione)
14 marzo 2024 (*)
«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 58, paragrafo 2, lettere d) e g) – Poteri dell’autorità di controllo di uno Stato membro – Articolo 17, paragrafo 1 – Diritto alla cancellazione (“diritto all’oblio”) – Cancellazione dei dati personali che sono stati trattati illecitamente – Potere dell’autorità nazionale di controllo di ordinare al titolare del trattamento o al responsabile del trattamento di cancellare tali dati senza previa richiesta dell’interessato»
Nella causa C‑46/23,
avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dalla Fővárosi Törvényszék (Corte di Budapest-Capitale, Ungheria), con decisione dell’8 dicembre 2022, pervenuta in cancelleria il 31 gennaio 2023, nel procedimento
Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala
contro
Nemzeti Adatvédelmi és Információszabadság Hatóság,
LA CORTE (Quinta Sezione),
composta da E. Regan, presidente di sezione, Z. Csehi, M. Ilešič (relatore), I. Jarukaitis e D. Gratsias, giudici,
avvocato generale: L. Medina
cancelliere: A. Calot Escobar
vista la fase scritta del procedimento,
considerate le osservazioni presentate:
– per la Nemzeti Adatvédelmi és Információszabadság Hatóság, da G.J. Dudás, ügyvéd;
– per il governo ungherese, da Zs. Biró-Tóth e M.Z. Fehér, in qualità di agenti;
– per il governo spagnolo, da A. Ballesteros Panizo, in qualità di agente;
– per il governo austriaco, da A. Posch, J. Schmoll e C. Gabauer, in qualità di agenti;
– per il governo polacco, da B. Majczyna, in qualità di agente;
– per il governo portoghese, da P. Barros da Costa, M.J. Ramos e C. Vieira Guerra, in qualità di agenti;
– per la Commissione europea, da A. Bouchagiar, C. Kovács e H. Kranenborg, in qualità di agenti,
vista la decisione, adottata dopo aver sentito l’avvocato generale, di giudicare la causa senza conclusioni,
ha pronunciato la seguente
Sentenza
1 La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 58, paragrafo 2, lettere c), d) e g), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1, e rettifiche in GU 2016, L 314, pag. 72, GU 2018, L 127, pag. 3 e GU 2021, L 74, pag. 35) (in prosieguo: il «RGPD»).
2 Tale domanda è stata presentata nell’ambito di una controversia tra la Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala (amministrazione municipale di Újpest – quarta circoscrizione di Budapest-Capitale, Ungheria) (in prosieguo: l’«amministrazione di Újpest») e la Nemzeti Adatvédelmi és Információszabadság Hatóság (autorità nazionale per la protezione dei dati e la libertà dell’informazione, Ungheria) (in prosieguo: l’«autorità ungherese di controllo») in merito a una decisione con cui quest’ultima ha ordinato all’amministrazione di Újpest di cancellare dati personali che sono stati trattati illecitamente.
Contesto normativo
3 I considerando 1, 10 e 129 del RGPD sono così formulati:
«(1) La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (...) e l’articolo 16, paragrafo 1, del [TFUE] stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
(...)
(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. (...)
(...)
(129) Al fine di garantire un monitoraggio e un’applicazione coerenti del presente regolamento in tutta l’Unione, le autorità di controllo dovrebbero avere in ciascuno Stato membro gli stessi compiti e poteri effettivi, fra cui poteri di indagine, poteri correttivi e sanzionatori, e poteri autorizzativi e consultivi, segnatamente in caso di reclamo proposto da persone fisiche, e fatti salvi i poteri delle autorità preposte all’esercizio dell’azione penale ai sensi del diritto degli Stati membri, il potere di intentare un’azione e di agire in sede giudiziale o stragiudiziale in caso di violazione del presente regolamento. (...)».
4 Il capo I del RGPD, intitolato «Disposizioni generali», comprende gli articoli da 1 a 4 del medesimo.
5 Ai sensi dell’articolo 1, intitolato «Oggetto e finalità», di tale regolamento:
«1. Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.
2. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.
(...)».
6 L’articolo 4, intitolato «Definizioni», di detto regolamento, ai punti 2, 7 e 21 prevede quanto segue:
«Ai fini del presente regolamento s’intende per:
(...)
2) “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
(...)
7) “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
(...)
21) “autorità di controllo”: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51;
(...)».
7 Il capo II del RGPD, intitolato «Principi», contiene in particolare l’articolo 5 del medesimo, a sua volta intitolato «Principi applicabili al trattamento di dati personali», il quale così prevede:
«1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; (...) (“limitazione della finalità”);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”);
(...)
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».
8 All’interno del capo III, intitolato «Diritti dell’interessato», del RGPD, l’articolo 17, a sua volta intitolato «Diritto alla cancellazione (“diritto all’oblio”)», di tale regolamento, al paragrafo 1 prevede quanto segue:
«L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
b) l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
c) l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;
d) i dati personali sono stati trattati illecitamente;
(...)».
9 Il capo VI del RGPD, rubricato «Autorità di controllo indipendenti», comprende gli articoli da 51 a 59 del medesimo.
10 L’articolo 51, intitolato «Autorità di controllo», di tale regolamento, ai paragrafi 1 e 2 prevede quanto segue:
«1. Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di controllare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione (...).
2. Ogni autorità di controllo contribuisce alla coerente applicazione del presente regolamento in tutta l’Unione. A tale scopo, le autorità di controllo cooperano tra loro e con la Commissione [europea], conformemente al capo VII».
11 L’articolo 57, intitolato «Compiti», di detto regolamento, al paragrafo 1 è così formulato:
«1. Fatti salvi gli altri compiti indicati nel presente regolamento, sul proprio territorio ogni autorità di controllo:
a) sorveglia e assicura l’applicazione del presente regolamento;
(...)
h) svolge indagini sull’applicazione del presente regolamento, anche sulla base di...
To continue reading
Request your trial