I bollettini di House of Data Imperiali sono degli estratti delle Puntate del servizio Dati in Primo Piano (DPP), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il DPP è fruibile tramite abbonamento.

SCOPRI GLI ABBONAMENTI

La violazione del ROPA causa l’illiceità del trattamento?

La Corte di Giustizia della UE (CGUE) il 4 maggio 2023 ha emesso la sentenza sul rinvio pregiudiziale oggetto della causa C-60/22, UZ c. Bundesrepublik Deutschland.

I quesiti posti alla CGUE hanno riguardato i seguenti aspetti del GDPR:

  • Se l’omessa tenuta del registro delle attività di trattamento (“ROPA”, art. 30, GDPR) oppure del contratto che disciplina le reciproche responsabilità dei contitolari (art. 26, GDPR) determinino l’illiceità del pertinente trattamento di dati personali;
  • In caso affermativo, se su tale trattamento possa esercitarsi il diritto di cancellazione dei dati (art. 17, GDPR) e il diritto di limitazione del trattamento (art. 18, GDPR); oppure, in caso negativo, quali siano le conseguenze che ne derivano;
  • Se un giudice nell’esercizio delle proprie competenze giurisdizionali, in presenza di tali carenze (omissione del ROPA e assenza di contratto tra contitolari) per poter effettuare il pertinente trattamento di dati personali sia soggetto al consenso dell’interessato.

GDPR_liceità_trattamento_dati

Fatti

La domanda di pronuncia pregiudiziale discende da una controversia tra un cittadino di un paese terzo (UZ) e la Repubblica federale di Germania in merito all’esame della domanda di protezione internazionale presentata da questa persona. A seguito della decisione di rigetto, l’Ufficio federale di competenza ha condiviso con il tribunale amministrativo, tramite la casella di posta elettronica gestita da un organismo pubblico, il fascicolo elettronico contenente la pratica e i dati personali del signor UZ.

Il giudice del rinvio rileva che:

  • la tenuta del fascicolo elettronico e la sua trasmissione costituisce un trattamento di dati personali cui si applica il GDPR
  • che gli uffici giudiziari riceventi, a seguito di apposito accertamento, non hanno realizzato un ROPA
  • tra l’Ufficio federale e quelli giudiziari, che cogestiscono il pertinente trattamento, non è intercorso alcun contratto per la disciplina delle rispettive responsabilità derivanti dal GDPR (art. 26 del regolamento).

Sulla base di tali rilievi, il giudice del rinvio chiede alla GGUE di precisare se le riscontrate violazioni del GDPR determinino l’illiceità del pertinente trattamento di dati personali nei cui riguardi l’interessato può esercitare il diritto di cancellazione o di limitazione del trattamento. In aggiunta, il giudice tedesco chiede se per poter eseguire il trattamento di dati personali, in presenza di queste omissioni, sia tenuto a richiedere il consenso dell’interessato.

Continua…

Per continuare a leggere questo articolo devi essere abbonato al servizio Dati in Primo Piano.

ABBONATI ORA

Sei già abbonato?

ACCEDI

Abbonati al DPP

Scopri gli abbonamenti

Data Hub

Scopri di più

Iscriviti al bollettino

Compila il form

Logo_HouseofData_tutto_bianco_home1

CONTATTI

segreteria@imperialida.com

Via Santa Maria Valle, 3, 20123, Milano

Iscriviti al bollettino

Info4