Privacy: la sanzione non è necessaria se la violazione è stata spontaneamente sanata

In materia di protezione dei dati personali, è stato stabilito che l’autorità di controllo non è tenuta ad adottare una misura correttiva e, in particolare, una sanzione pecuniaria, qualora il titolare del trattamento, conscio della violazione posta in essere, abbia adottato le misure necessarie affinché detta violazione cessi e non si ripeta.

La Corte di Giustizia dell'Ue, chiamata a pronunciarsi sulla corretta applicazione della disciplina prevista per la protezione dei dati personali, ha chiarito che in alcuni casi specifici non è necessario per l'autorità di controllo irrogare una sanzione pecuniaria. In particolare, il caso in questione riguardava la violazione dei dati personali da parte di una dipendente di una Cassa di risparmio tedesca che aveva consultato più volte, senza esservi autorizzata, le informazioni riservate di un cliente.  La Cassa di risparmio, tuttavia, non aveva comunicato tale inosservanza del GDPR al cliente, in quanto il responsabile della protezione dei dati, avendo ricevuto conferma scritta da parte della dipendente di non aver copiato o conservato le informazioni reperite, aveva ritenuto che non vi fosse per lui un rischio elevato. La Cassa di risparmio ha comunque notificato la violazione al commissario per la protezione dei dati del Land e previsto un provvedimento disciplinare per la sua dipendente. Venuto incidentalmente a conoscenza del fatto, il cliente ha presentato un reclamo dinanzi al commissario per la protezione dei dati, il quale non ha ritenuto necessario alcun provvedimento sanzionatorio nei confronti della Cassa.  Il cliente ha, dunque, proposto un ricorso dinanzi a un giudice tedesco, chiedendogli di ingiungere al commissario di intervenire contro la Cassa di risparmio e, in particolare, di irrogare una sanzione pecuniaria. A questo punto, il giudice tedesco ha rimesso la questione alla Corte per interpretare correttamente il regolamento generale sulla protezione dei dati al riguardo. La Corte di Giustizia ha precisato che, in caso di accertamento di una violazione di dati personali, l'autorità di controllo non è tenuta ad adottare una misura correttiva in particolare l'irrogazione di una sanzione amministrativa , se non è necessario per porre rimedio alla carenza rilevata e garantire il pieno rispetto del GDPR. Ciò potrebbe accadere, ad esempio, qualora il titolare del trattamento, venuto a conoscenza dell'irregolarità nel trattamento, abbia adottato le misure necessarie per fare cessare la violazione ed impedire che si ripeta. Il GDPR, infatti, lascia all'autorità di controllo un margine di discrezionalità relativamente alle modalità con cui essa deve porre rimedio all'inadeguatezza constatata. Tale margine è limitato dall'esigenza di assicurare un livello coerente ed elevato di protezione dei dati tramite un'applicazione rigorosa del Regolamento. Spetta, quindi, al giudice tedesco – secondo la Corte - verificare se il commissario per la protezione dei dati abbia rispettato tali limiti.

Sentenza 1        La domanda di pronuncia pregiudiziale verte sull'interpretazione dell'articolo 57, paragrafo 1, lettere a e f , dell'articolo 58, paragrafo 2, nonché dell'articolo 77, paragrafo 1, del regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE regolamento generale sulla protezione dei dati GU 2016, L 119, pag. 1 in prosieguo il «RGPD» . 2        Tale domanda è stata presentata nell'ambito di una controversia tra TR e il Land Hessen Land dell'Assia, Germania , in merito all'omessa adozione da parte dello Hessischer Beauftragte für Datenschutz und Informationsfreiheit commissario per la protezione dei dati e la libertà d'informazione del Land dell'Assia, Germania in prosieguo lo «HBDI» di misure correttive nei confronti della Sparkasse X Cassa di risparmio di X in prosieguo la «Cassa di risparmio» .  Contesto normativo 3        Ai sensi dei considerando 6, 7, 10, 129 e 148 del RGPD « 6       La rapidità dell'evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. La portata della condivisione e della raccolta di dati personali è aumentata in modo significativo. 7       Tale evoluzione richiede un quadro più solido e coerente in materia di protezione dei dati nell'Unione [europea], affiancato da efficaci misure di attuazione, data l'importanza di creare il clima di fiducia che consentirà lo sviluppo dell'economia digitale in tutto il mercato interno. 10       Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all'interno dell'Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. 129        È opportuno che i poteri delle autorità di controllo siano esercitati nel rispetto di garanzie procedurali adeguate previste dal diritto dell'Unione e degli Stati membri, in modo imparziale ed equo ed entro un termine ragionevole. In particolare ogni misura dovrebbe essere appropriata, necessaria e proporzionata al fine di assicurare la conformità al presente regolamento, tenuto conto delle circostanze di ciascun singolo caso, rispettare il diritto di ogni persona di essere ascoltata prima che nei suoi confronti sia adottato un provvedimento individuale che le rechi pregiudizio ed evitare costi superflui ed eccessivi disagi per le persone interessate. 148       Per rafforzare il rispetto delle norme del presente regolamento, dovrebbero essere imposte sanzioni, comprese sanzioni amministrative pecuniarie per violazione del regolamento, in aggiunta o in sostituzione di misure appropriate imposte dall'autorità di controllo ai sensi del presente regolamento. In caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica, potrebbe essere rivolto un ammonimento anziché imposta una sanzione pecuniaria. Si dovrebbe prestare tuttavia debita attenzione alla natura, alla gravità e alla durata della violazione, al carattere doloso della violazione e alle misure adottate per attenuare il danno subito, al grado di responsabilità o eventuali precedenti violazioni pertinenti, alla maniera in cui l'autorità di controllo ha preso conoscenza della violazione, al rispetto dei provvedimenti disposti nei confronti del titolare del trattamento o del responsabile del trattamento, all'adesione a un codice di condotta e eventuali altri fattori aggravanti o attenuanti. » 4        L'articolo 5 di tale regolamento è così formulato «1.      I dati personali sono a       trattati in modo lecito, corretto e trasparente nei confronti dell'interessato “liceità, correttezza e trasparenza” b       raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità “limitazione della finalità” c       adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati “minimizzazione dei dati” d       esatti e, se necessario, aggiornati “esattezza” e       conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati “limitazione della conservazione” f       trattati in modo da garantire un'adeguata sicurezza dei dati personali “integrità e riservatezza” 2.      Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo “responsabilizzazione” ». 5        L'articolo 24, paragrafo 1, di detto regolamento così prevede «Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario». 6        L'articolo 33 del medesimo regolamento dispone quanto segue «1.      In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. 3.      La notifica di cui al paragrafo 1 deve almeno a       descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione b       comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni c       descrivere le probabili conseguenze della violazione dei dati personali d       descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. ». 7        L'articolo 34, paragrafo 1, del RGPD così dispone «Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo». 8        Il capo VI del RGPD, rubricato «Autorità di controllo indipendenti», comprende gli articoli da 51 a 59 del medesimo. 9        L'articolo 51, paragrafo 1, di detto regolamento è così formulato «Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l'applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all'interno dell'Unione l'“autorità di controllo” ». 10      L'articolo 57 del RGPD, dal titolo «Compiti», enuncia, al paragrafo 1, quanto segue «Fatti salvi gli altri compiti indicati nel presente regolamento, sul proprio territorio ogni autorità di controllo a       sorveglia e assicura l'applicazione del presente regolamento f       tratta i reclami proposti da un interessato, o da un organismo, un'organizzazione o un'associazione ai sensi dell'articolo 80, e svolge le indagini opportune sull'oggetto del reclamo e informa il reclamante dello stato e dell'esito delle indagini entro un termine ragionevole, in particolare ove siano necessarie ulteriori indagini o un coordinamento con un'altra autorità di controllo ». 11      L'articolo 58 di tale regolamento, intitolato «Poteri», ai paragrafi 1 e 2 così dispone «1.      Ogni autorità di controllo ha tutti i poteri di indagine seguenti a       ingiungere al titolare del trattamento e al responsabile del trattamento e, ove applicabile, al rappresentante del titolare del trattamento o del responsabile del trattamento, di fornirle ogni informazione di cui necessiti per l'esecuzione dei suoi compiti 2.      Ogni autorità di controllo ha tutti i poteri correttivi seguenti a       rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento b       rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente regolamento c       ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell'interessato di esercitare i diritti loro derivanti dal presente regolamento d       ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine e       ingiungere al titolare del trattamento di comunicare all'interessato una violazione dei dati personali f       imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento i       infliggere una sanzione amministrativa pecuniaria ai sensi dell'articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso e ». 12      L'articolo 77 di detto regolamento è così formulato «1.      Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l'interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un'autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione. 2.      L'autorità di controllo a cui è stato proposto il reclamo informa il reclamante dello stato o dell'esito del reclamo, compresa la possibilità di un ricorso giurisdizionale ai sensi dell'articolo 78». 13      L'articolo 83, paragrafi 1e 2 del medesimo regolamento enuncia quanto segue «1.      Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive. 2.      Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all'articolo 58, paragrafo 2, lettere da a a h e j , o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l'ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi a       la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l'oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito b       il carattere doloso o colposo della violazione c       le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati d       il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32 e       eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento f       il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi g       le categorie di dati personali interessate dalla violazione h       la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione i       qualora siano stati precedentemente disposti provvedimenti di cui all'articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti j       l'adesione ai codici di condotta approvati ai sensi dell'articolo 40 o ai meccanismi di certificazione approvati ai sensi dell'articolo 42 e k       eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione».  Procedimento principale e questione pregiudiziale 14      La Cassa di risparmio è un ente comunale di diritto pubblico e svolge tra l'altro operazioni bancarie e creditizie. Il 15 novembre 2019, essa ha notificato allo HBDI, conformemente all'articolo 33 del RGPD, una violazione dei dati personali, costituita dal fatto che una delle sue dipendenti aveva ripetutamente consultato in diverse occasioni dati personali di TR, uno dei suoi clienti, senza esservi autorizzata. La Cassa di risparmio ha omesso di comunicare a TR la violazione dei suoi dati personali. 15      Dopo essere venuto incidentalmente a conoscenza del fatto che i suoi dati personali erano stati indebitamente consultati, il 27 luglio 2020, TR ha presentato un reclamo allo HBDI sulla base dell'articolo 77 del RGPD. In tale reclamo, egli ha denunciato il fatto che la violazione dei suoi dati personali non gli era stata comunicata, in violazione dell'articolo 34 di tale regolamento. Egli ha censurato altresì la durata di conservazione del registro di accesso della Cassa di risparmio, fissata in soli tre mesi, nonché gli ampi diritti di consultazione di cui godono i membri del suo personale. 16      A seguito del reclamo presentato da TR, lo HBDI ha sentito la Cassa di risparmio per iscritto e oralmente in merito alle censure formulate nei suoi confronti. Nel corso dell'audizione, la Cassa di risparmio ha indicato di aver omesso di procedere a una comunicazione ai sensi dell'articolo 34 del RGPD, in quanto il suo responsabile della protezione dei dati aveva ritenuto che non vi fosse un rischio elevato per i diritti e le libertà di TR. Infatti, erano state adottate misure disciplinari nei confronti della dipendente interessata e quest'ultima aveva confermato per iscritto di non aver né copiato né conservato i dati personali, di non averli trasmessi a terzi e che non lo avrebbe fatto in futuro. Inoltre, poiché lo HBDI ha criticato la durata troppo breve di conservazione dei registri di accesso, la Cassa di risparmio l'ha informato che tale questione sarebbe stata oggetto di un riesame. 17      Con decisione del 3 settembre 2020, lo HBDI ha informato TR che la Cassa di risparmio non aveva violato l'articolo 34 del RGPD, poiché la valutazione della Cassa di risparmio secondo cui la violazione di dati personali commessa non poteva comportare un rischio elevato per i suoi diritti e le sue libertà, ai sensi di tale articolo, non era manifestamente errata. Infatti, anche se i dati fossero stati consultati dalla dipendente, nulla indicava che quest'ultima li avesse trasmessi a terzi o li avesse utilizzati a discapito di TR. Inoltre, lo HBDI ha indicato di aver invitato la Cassa di risparmio a conservare ormai il proprio registro di accesso per un periodo superiore a tre mesi. Infine, per quanto riguarda la questione dell'accesso dei dipendenti della Cassa di risparmio ai dati personali, lo HBDI ha respinto il reclamo presentato da TR, sottolineando che possono essere concessi ampi diritti di accesso, in linea di principio, qualora esista la certezza che ciascun utente è informato delle condizioni alle quali può accedere ai dati. Pertanto, secondo lo HBDI, un controllo generalizzato di ogni accesso non è necessario. 18      TR ha presentato ricorso contro la decisione dinanzi al Verwaltungsgericht Wiesbaden Tribunale amministrativo di Wiesbaden, Germania , il giudice del rinvio, chiedendogli di ingiungere allo HBDI di intervenire nei confronti della Cassa di risparmio. 19      A sostegno del suo ricorso, TR fa valere che lo HBDI non ha trattato il suo reclamo come prescritto dal RGPD, vale a dire prendendo in considerazione tutte le circostanze di fatto, e aggiunge che lo HBDI avrebbe dovuto infliggere una sanzione pecuniaria alla Cassa di risparmio, tenuto conto delle diverse violazioni da parte di quest'ultima delle disposizioni di tale regolamento, in particolare dell'articolo 5, dell'articolo 12, paragrafo 3, dell'articolo 15, paragrafo 1, lettera c , dell'articolo 33, paragrafo 1, e dell'articolo 33, paragrafo 3, del medesimo. Secondo TR, in caso di violazione accertata di detto regolamento, come nella fattispecie, non entrerebbe in gioco il principio di opportunità, cosicché lo HBDI sarebbe stato libero, non tanto di decidere se agire o meno, ma, casomai, di scegliere le misure che intendeva adottare. 20      A tal riguardo, il giudice del rinvio si chiede, in sostanza, se, in caso di violazione accertata di disposizioni relative alla protezione dei dati personali, il RGPD debba essere interpretato nel senso che l'autorità di controllo è tenuta ad adottare misure correttive ai sensi dell'articolo 58, paragrafo 2, di tale regolamento, come una sanzione amministrativa pecuniaria, oppure nel senso che tale autorità dispone di un potere discrezionale che l'autorizza, a seconda delle circostanze, ad omettere di adottare siffatte misure. 21      Il giudice del rinvio espone che la prima interpretazione, che è quella sostenuta da TR nonché da una parte della dottrina, si basa sul fatto che i poteri di cui dispone l'autorità di controllo di adottare misure correttive mirano a ripristinare le condizioni legittime, nel caso in cui il cittadino assista ad una violazione dei suoi diritti a causa del trattamento dei dati. L'articolo 58, paragrafo 2, del RGPD dovrebbe quindi essere inteso come una norma prescrittiva che fonda un diritto del cittadino a un'azione da parte delle autorità allorché un'impresa o un'autorità abbia trattato illecitamente i dati personali del cittadino o abbia violato diritti in altro modo. In caso di accertamento di una violazione della protezione dei dati l'autorità di controllo sarebbe quindi obbligata ad adottare misure correttive, restandole solamente la discrezionalità di scegliere quali tra le misure previste adottare. 22      Il giudice del rinvio dubita tuttavia della fondatezza di tale interpretazione, che esso ritiene troppo estensiva, ed è incline piuttosto a riconoscere all'autorità di controllo un margine di discrezionalità che l'autorizza, in taluni casi, ad omettere di adottare una misura correttiva, in particolare di infliggere una sanzione, in caso di violazione accertata. Quand'anche l'autorità di controllo avesse, in forza dell'articolo 57, paragrafo 1, lettera f , del RGPD, l'obbligo di procedere a un attento esame nel merito dei reclami e di esaminare ciascun caso specifico, essa non sarebbe tuttavia tenuta ad adottare una misura correttiva in ogni situazione. Pertanto, essa non sarebbe soggetta a tale obbligo qualora in passato siano state violate norme relative alla protezione dei dati personali, ma il titolare del trattamento abbia adottato misure che non lascino presagire che una violazione della protezione dei dati si ripeta. 23      In tali circostanze, il Verwaltungsgericht Wiesbaden Tribunale amministrativo di Wiesbaden ha deciso di sospendere il procedimento e di sottoporre alla Corte la seguente questione pregiudiziale «Se l'articolo 57, paragrafo 1, lettere a ed f e l'articolo 58, paragrafo 2, lettere da a a j , in combinato disposto con l'articolo 77, paragrafo 1, del [RGPD] debbano essere interpretati nel senso che nel caso in cui l'autorità di controllo rilevi un trattamento dei dati che viola i diritti dell'interessato l'autorità di controllo sia sempre obbligata ad intervenire ai sensi dell'articolo 58, paragrafo 2, [di tale regolamento]».  Sulla ricevibilità della domanda di pronuncia pregiudiziale 24      Senza contestare espressamente la ricevibilità della domanda di pronuncia pregiudiziale, TR sostiene che una risposta alla questione sollevata non è necessaria per decidere la controversia di cui al procedimento principale. Il suo ricorso mirerebbe solo a far sì che il giudice del rinvio condanni lo HBDI a pronunciarsi sulle censure sollevate nel reclamo, conformemente all'articolo 57, paragrafo 1, lettera f , del RGPD, e non a che esso lo condanni ad avvalersi dei poteri conferitigli dall'articolo 58, paragrafo 2, di tale regolamento 25      A tal proposito, occorre ricordare che, nell'ambito della cooperazione tra la Corte e i giudici nazionali istituita dall'articolo 267 TFUE, spetta esclusivamente al giudice nazionale, cui è stata sottoposta la controversia e che deve assumersi la responsabilità dell'emananda decisione giurisdizionale, valutare, alla luce delle particolarità del caso, sia la necessità di una pronuncia pregiudiziale per essere in grado di emettere la propria decisione, sia la rilevanza delle questioni che sottopone alla Corte. Di conseguenza, se le questioni sollevate riguardano l'interpretazione del diritto dell'Unione, la Corte, in via di principio, è tenuta a statuire sentenza del 30 novembre 2023, Ministero dell'Istruzione e INPS, C‑270/22, EU C 2023 933, punto 33 e giurisprudenza ivi citata . 26      Ne consegue che le questioni relative all'interpretazione del diritto dell'Unione poste dal giudice nazionale nell'ambito del contesto di diritto e di fatto che egli individua sotto la propria responsabilità e del quale non spetta alla Corte verificare l'esattezza, godono di una presunzione di rilevanza. Il rifiuto della Corte di statuire su una domanda presentata da un giudice nazionale è possibile soltanto se appare in modo manifesto che l'interpretazione del diritto dell'Unione richiesta non ha alcuna relazione con la realtà effettiva o con l'oggetto del procedimento principale, qualora il problema sia di natura ipotetica oppure, ancora, qualora la Corte non disponga degli elementi di fatto e di diritto necessari per rispondere in modo utile alle questioni che le sono sottoposte sentenza del 30 novembre 2023, Ministero dell'Istruzione e INPS, C‑270/22, EU C 2023 933, punto 34 e giurisprudenza ivi citata . 27      Nel caso di specie, il giudice del rinvio sottolinea che TR ha fatto valere un diritto all'intervento dello HBDI e ha affermato che quest'ultimo era tenuto ad infliggere una sanzione pecuniaria alla Cassa di risparmio. 28      Di conseguenza, non risulta manifestamente che l'interpretazione del diritto dell'Unione richiesta non abbia alcun rapporto con la realtà effettiva o con l'oggetto della controversia principale. 29      Pertanto, la domanda di pronuncia pregiudiziale è ricevibile.  Sulla questione pregiudiziale 30      Per rispondere alla questione sollevata, occorre ricordare, in via preliminare, che l'interpretazione di una disposizione del diritto dell'Unione richiede di tener conto non soltanto della sua formulazione, ma anche del contesto in cui essa si inserisce nonché degli obiettivi e della finalità che persegue l'atto di cui essa fa parte [sentenza del 7 dicembre 2023, SCHUFA Holding Esdebitazione , C‑26/22 e C‑64/22, EU C 2023 958, punto 48 e giurisprudenza citata]. 31      Occorre ricordare altresì che, conformemente all'articolo 8, paragrafo 3, della Carta dei diritti fondamentali dell'Unione europea, nonché all'articolo 51, paragrafo 1, e all'articolo 57, paragrafo 1, lettera a , del RGPD, le autorità nazionali di controllo sono incaricate di controllare il rispetto delle norme dell'Unione relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali [sentenza del 7 dicembre 2023, SCHUFA Holding Esdebitazione , C‑26/22 e C‑64/22, EU C 2023 958, punto 55 e giurisprudenza citata]. 32      In particolare, a norma dell'articolo 57, paragrafo 1, lettera f , del RGDP, ogni autorità di controllo è tenuta, nel suo territorio, a trattare i reclami che qualsiasi persona, ai sensi dell'articolo 77, paragrafo 1, di tale regolamento, ha il diritto di proporre quando considera che un trattamento di dati personali che la riguardano costituisca una violazione di tale regolamento, ad esaminarne l'oggetto nella misura necessaria e ad informare l'autore del reclamo dello stato e dell'esito dell'indagine entro un termine ragionevole. L'autorità di controllo deve trattare un siffatto reclamo con la dovuta diligenza [v, in tal senso, sentenza del 7 dicembre 2023, SCHUFA Holding Esdebitazione C‑26/22 e C‑64/22, EU C 2023 958, punto 56 e giurisprudenza citata]. 33      Al fine del trattamento dei reclami così presentati, l'articolo 58, paragrafo 1, del RGDP conferisce a ciascuna autorità di controllo significativi poteri di indagine. Quando una siffatta autorità constata, al termine della sua indagine, una violazione delle disposizioni di tale regolamento, essa è tenuta a reagire in modo appropriato al fine di porre rimedio all'inadeguatezza constatata, poiché qualsiasi misura, come precisato dal considerando 129 di tale regolamento, deve, in particolare, essere appropriata, necessaria e proporzionata al fine di assicurare la conformità a detto regolamento, tenuto conto delle circostanze di ciascun singolo caso. A tal fine, l'articolo 58, paragrafo 2, di tale regolamento elenca le diverse misure correttive che l'autorità di controllo può adottare [v., in tal senso, sentenza del 7 dicembre 2023, SCHUFA Holding Esdebitazione , C‑26/22 e C‑64/22, EU C 2023 958, punto 57 e giurisprudenza citata . 34      Pertanto, in forza dell'articolo 58, paragrafo 2, del RGPD, l'autorità di controllo ha il potere, in particolare, di richiamare all'ordine un titolare del trattamento o un responsabile del trattamento ove i trattamenti abbiano comportato una violazione delle disposizioni di tale regolamento [lettera b ], di ordinare al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell'interessato di esercitare i suoi diritti ai sensi di detto regolamento [lettera c ], di ordinare al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del medesimo regolamento, se del caso, in modo specifico ed entro un termine determinato [lettera d ], o ancora di imporre una sanzione amministrativa pecuniaria ai sensi dell'articolo 83 del RGPD, in aggiunta o in luogo delle misure di cui a tale articolo 58, paragrafo 2, in funzione delle caratteristiche specifiche di ciascun caso [punto i ]. 35      Ne consegue che la procedura di reclamo è concepita come un meccanismo idoneo a salvaguardare efficacemente i diritti e gli interessi delle persone coinvolte [sentenza del 7 dicembre 2023, SCHUFA Holding Esdebitazione , C‑26/22 e C‑64/22, EU C 2023 958, punto 58]. 36      Nel caso di specie, dalla domanda di pronuncia pregiudiziale risulta che lo HBDI ha esaminato nel merito il reclamo presentato dal ricorrente nel procedimento principale e lo ha informato dell'esito dell'indagine. Più specificamente, lo HBDI ha confermato che una violazione dei dati personali di quest'ultimo si era verificata in seno alla Cassa di risparmio, consistente nell'accesso non autorizzato a questi ultimi da parte di una delle sue dipendenti. Tuttavia, per quanto riguarda i diritti di consultazione dei membri del personale della Cassa di risparmio, lo HBDI ha respinto il reclamo presentato dal ricorrente nel procedimento principale. Inoltre, esso ha concluso che non era necessario intervenire contro la Cassa di risparmio ai sensi dell'articolo 58, paragrafo 2, del RGPD. 37      A tal riguardo, occorre rilevare che il RGPD lascia all'autorità di controllo un margine di discrezionalità quanto al modo in cui essa deve porre rimedio all'inadeguatezza constatata, poiché l'articolo 58, paragrafo 2, di quest'ultimo conferisce a tale autorità il potere di adottare diverse misure correttive. Pertanto, la Corte ha già dichiarato che la scelta del mezzo appropriato e necessario spetta all'autorità di controllo che deve fare tale scelta prendendo in considerazione tutte le circostanze del caso concreto e assolvendo al suo compito di vigilare sul pieno rispetto del RGPD con tutta la diligenza richiesta v., in tal senso, sentenza del 16 luglio 2020, Facebook Ireland e Schrems, C‑311/18, EU C 2020 559, punto 112 . 38      Tale potere discrezionale è tuttavia limitato dalla necessità di garantire un livello coerente ed elevato di protezione dei dati personali mediante un'applicazione rigorosa delle norme, come risulta dai considerando 7 e 10 del RGPD. 39      Per quanto riguarda, più in particolare, le sanzioni amministrative pecuniarie di cui all'articolo 58, paragrafo 2, lettera i , del RGPD, dall'articolo 83, paragrafo 2, di tale regolamento risulta che esse sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui a tale articolo 58, paragrafo 2 o in luogo di tali misure. Inoltre, tale articolo 83, paragrafo 2, precisa che, al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l'ammontare della stessa, l'autorità di controllo in ogni singolo caso tiene debitamente conto degli elementi di cui alle lettere da a a k di tale disposizione, quali la natura, la gravità e la durata della violazione. 40      Pertanto, il legislatore dell'Unione ha previsto un sistema di sanzioni che consente alle autorità di controllo di imporre le sanzioni più appropriate e giustificate a seconda delle circostanze di ciascun caso v., in tal senso, sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU C 2023 949, punti 75 e 78 , prendendo in considerazione, come ricordato ai punti 37 e 38 della presente sentenza, la necessità di garantire il pieno rispetto del RGPD, nonché di garantire un livello coerente ed elevato di protezione dei dati personali mediante un'applicazione rigorosa delle norme. 41      Di conseguenza, non si può dedurre né dall'articolo 58, paragrafo 2, del RGPD, né dall'articolo 83 dello stesso, che vi sia un obbligo per l'autorità di controllo di adottare, in tutti i casi in cui riscontri una violazione dei dati personali, una misura correttiva, in particolare una sanzione amministrativa pecuniaria, essendo il suo obbligo, in tali circostanze, quello di reagire in modo appropriato al fine di porre rimedio alla carenza riscontrata. In tali circostanze, come rilevato dall'avvocato generale al paragrafo 81 delle sue conclusioni, l'autore di un reclamo i cui diritti siano stati violati non dispone di un diritto soggettivo all'imposizione, da parte dell'autorità di controllo, di una sanzione amministrativa pecuniaria al titolare del trattamento. 42      Per contro, l'autorità di controllo è tenuta ad intervenire qualora l'adozione di una o più delle misure correttive previste all'articolo 58, paragrafo 2, del RGPD sia, tenuto conto delle circostanze di ciascun singolo caso, appropriata, necessaria e proporzionata al fine di porre rimedio all'inadeguatezza constatata e assicurare la conformità a tale regolamento. 43      A tal riguardo, non è escluso che, in via eccezionale e tenuto conto delle circostanze particolari del caso concreto, l'autorità di controllo possa omettere di adottare una misura correttiva nonostante sia stata constatata una violazione di dati personali. Ciò potrebbe verificarsi, in particolare, qualora la violazione constatata non sia persistita, ad esempio qualora il titolare del trattamento, che aveva, in linea di principio, attuato misure tecniche e organizzative adeguate ai sensi dell'articolo 24 del RGPD, abbia adottato, non appena ne sia venuto a conoscenza di tale violazione, le misure appropriate e necessarie affinché detta violazione cessasse e non si ripeta, tenuto conto degli obblighi ad esso incombenti, in particolare, ai sensi dell'articolo 5, paragrafo 2, e dell'articolo 24 di tale regolamento. 44      L'interpretazione secondo la quale l'autorità di controllo, qualora constati una violazione di dati personali, non è tenuta ad adottare in tutti i casi una misura correttiva ai sensi dell'articolo 58, paragrafo 2, del RGPD è corroborata dagli obiettivi perseguiti rispettivamente da tale articolo 58, paragrafo 2, nonché dall'articolo 83 di tale regolamento. 45      Per quanto riguarda l'obiettivo perseguito dall'articolo 58, paragrafo 2, del RGPD, dal considerando 129 del medesimo risulta che tale disposizione mira a garantire la conformità del trattamento dei dati personali a tale regolamento nonché il ripristino di situazioni di violazione di quest'ultimo per renderle conformi al diritto dell'Unione, grazie all'intervento delle autorità nazionali di controllo sentenza del 14 marzo 2024, Újpesti Polgármesteri Hivatal, C‑46/23, EU C 2024 239, punto 40 . 46      Ne consegue che l'adozione di una misura correttiva può, in via eccezionale e tenuto conto delle circostanze particolari del caso concreto, non imporsi, a condizione che la situazione di violazione del RGPD sia già stata ripristinata e che sia garantita la conformità dei trattamenti di dati personali a tale regolamento da parte del loro titolare, e che una siffatta omissione dell'autorità di controllo non sia tale da pregiudicare il requisito di un'applicazione rigorosa delle norme, come ricordato al punto 38 della presente sentenza. 47      Quanto all'obiettivo perseguito dall'articolo 83 del RGPD, relativo all'imposizione di sanzioni amministrative pecuniarie, esso consiste, ai sensi del considerando 148 di tale regolamento, nel rafforzare il rispetto delle norme di quest'ultimo. Tuttavia, tale medesimo considerando enuncia che è consentito alle autorità di controllo, nel caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisca un onere sproporzionato per una persona fisica, di astenersi dall'imporre una sanzione pecuniaria e di rivolgere, in suo luogo, un ammonimento v., in tal senso, sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU C 2023 949, punto 76 . 48      Nel caso di specie, dalla domanda di pronuncia pregiudiziale risulta che la Cassa di risparmio ha notificato allo HBDI, conformemente all'articolo 33 del RGPD, la violazione dei dati personali del ricorrente nel procedimento principale, derivante dall'accesso non autorizzato a questi ultimi da parte di uno dei suoi dipendenti. Inoltre, essa ha indicato che erano state adottate misure disciplinari nei confronti di tale dipendente e che la durata di conservazione del registro di accesso sarebbe stata oggetto di un riesame. È in tali circostanze che lo HBDI ha omesso di adottare una misura correttiva ai sensi dell'articolo 58, paragrafo 2, del RGPD, e in particolare dall'infliggere una sanzione amministrativa pecuniaria. 49      Poiché le decisioni su reclamo adottate da un'autorità di controllo sono soggette a un sindacato giurisdizionale completo [sentenza del 7 dicembre 2023, SCHUFA Holding Esdebitazione , C‑26/22 e C‑64/22, EU C 2023 958, punto 70], spetta al giudice del rinvio verificare se lo HBDI abbia proceduto al trattamento del reclamo di cui trattasi con tutta la diligenza richiesta e se, adottando la decisione di cui trattasi nel procedimento principale, lo HBDI abbia rispettato i limiti del potere discrezionale conferitogli dall'articolo 58, paragrafo 2, del RGPD [v., per analogia, sentenza del 7 dicembre 2023, SCHUFA Holding Esdebitazione , C‑26/22 e C‑64/22, EU C 2023 958, punti 68 e 69 nonché la giurisprudenza ivi citata]. 50      Alla luce di tutte le considerazioni che precedono, occorre rispondere alla questione sollevata dichiarando che l'articolo 57, paragrafo 1, lettere a e f , l'articolo 58, paragrafo 2, e l'articolo 77, paragrafo 1, del RGPD devono essere interpretati nel senso che, in caso di constatazione di una violazione di dati personali, l'autorità di controllo non è tenuta ad adottare una misura correttiva, in particolare una sanzione amministrativa pecuniaria, ai sensi di tale articolo 58, paragrafo 2, qualora un siffatto intervento non sia appropriato, necessario o proporzionato al fine di porre rimedio all'inadeguatezza constatata e garantire il pieno rispetto di tale regolamento.  Sulle spese 51      Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione. Per questi motivi, la Corte Prima Sezione dichiara Il combinato disposto dell'articolo 57, paragrafo 1, lettere a e f , dell'articolo 58, paragrafo 2, e dell'articolo 77, paragrafo 1, del regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE regolamento generale sulla protezione dei dati , deve essere interpretato nel senso che in caso di constatazione di una violazione di dati personali, l'autorità di controllo non è tenuta ad adottare una misura correttiva, in particolare una sanzione amministrativa pecuniaria, ai sensi di tale articolo 58, paragrafo 2, qualora un siffatto intervento non sia appropriato, necessario o proporzionato al fine di porre rimedio all'inadeguatezza constatata e garantire il pieno rispetto di tale regolamento.