Attraverso l’ordinanza n. 27189/2023, la Suprema Corte di Cassazione fissa alcuni importanti principi in tema di sanzioni privacy per violazione del GDPR, e non solo.
La vicenda oggetto dell’ordinanza della Cassazione sulle sanzioni privacy
Con sentenza 3276/2022, il Tribunale di Milano si era pronunciato rispetto al provvedimento n. 234 del 2021 col quale il Garante per la protezione dei dati personali (il “Garante”) aveva irrogato la sanzione amministrativa di 2.600.000,00 EUR ad una società per avere violato distinte norme del Regolamento 2016/679-UE (il “GDPR”) quanto ai dati personali dei cd. rider, annullando il provvedimento per eccessività della sanzione inflitta.
In particolare, il Tribunale avrebbe motivato la sua sentenza affermando che la decisione del Garante, per quanto fosse legittima sotto i profili della possibilità di intervento contro la società, non lo fosse invece per quanto riguardava il piano della sanzione. Difatti, il provvedimento aveva dichiarato di voler tenere conto delle “condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio d’esercizio per l’anno 2019” (chiuso con perdite di esercizio), e tuttavia aveva poi quantificato la sanzione in ragione della violazione più grave (ex art. 83, par. 5, lett. a), del GDPR) in misura pari al 7,29% del fatturato annuale dell’opponente, e quindi in misura decisamente superiore al parametro del 4% menzionato dalla citata norma, e ancor maggiore rispetto alla percentuale media (0,0019%) applicata dal medesimo Garante ad altri soggetti sanzionati.
Inoltre, il Tribunale, aveva ritenuto che il giudice ordinario non avesse in ogni caso la “possibilità […] di modificare l’entità della pena pecuniaria”, non essendo tale potere attribuito dalla normativa nazionale in tema di dati personali.
Per le ragioni di cui sopra, il Garante ha pertanto proposto ricorso per cassazione sostenendo principalmente la violazione o falsa applicazione, tra le altre cose, dell’art. 83 del GDPR e dell’art. 166 del codice privacy, ritenendo che la sanzione fosse invece stata irrogata nella misura consentita dal parametro edittale applicabile.
I principi fissati dalla Corte di Cassazione sulle sanzioni GDPR
La Cassazione, accogliendo i motivi di ricorso del Garante, esprime, tra le altre cose, i seguenti principi di diritto nella determinazione delle sanzioni ai sensi del GDPR.
In primo luogo, la Suprema Corte ritiene che la violazione delle disposizioni del GDPR comporti una sanzione che in generale non deve superare “l’importo specificato per la violazione più grave”. Infatti, secondo la Cassazione, l’art. 83 del GDPR stabilisce due tipologie di sanzioni amministrative alternative:
a) fino a 10.000.000 EUR o fino a 20.000.000 EUR, oppure
b) fino al 2% o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, “se superiore“.
La sanzione amministrative della “percentuale” (2% o 4%) è però un riferimento proporzionale che, per le imprese, “non ha funzione mitigatoria del limite edittale ordinariamente stabilito in misura variabile tra il minimo e il massimo”. Secondo la Cassazione, questo significa che la sanzione “percentuale” opera solo come ulteriore limite al limite edittale “ordinario” (20.000.000,00 EUR). E questo, sempre secondo la Cassazione, si trarrebbe dalla locuzione finale della norma (“se superiore“), che è riferita alla sanzione pecuniaria “numerica”.
Ciò sembra significare che, fintanto che la sanzione non supera il massimo edittale di 20.000.000,00 EUR, non bisogna guardare alla percentuale rispetto al fatturato annuo (che, nel caso di specie, seppur riguardasse il 7,29% del fatturato annuale della società, si sarebbe attestata a “soli” 2.600.000,00 EUR).
In secondo luogo, la Cassazione si esprime in riferimento al terzo motivo di ricorso presentato dal Garante, ossia il fatto che “il tribunale ha ritenuto di non avere la possibilità di modificare l’entità della sanzione pecuniaria ove anche ritenuta esorbitante”. Su questo la Cassazione ritiene che, con la sentenza che accoglie l’opposizione rispetto ad un provvedimento amministrativo come quello del Garante, il giudice può annullare in tutto in parte l’ordinanza o “modificarla anche limitatamente all’entità della sanzione dovuta, che è determinata in una misura in ogni caso non inferiore al minimo edittale”.
Da ciò ne deriva che, con questa ordinanza, la Cassazione afferma che le sanzioni irrogate dal Garante non sono statiche, ma potrebbero subire delle modifiche anche dal giudice ordinario, qualora questo lo ritenesse necessario.
Rilevanza dell’ordinanza per la compliance privacy delle aziende
L’ordinanza della Corte di Cassazione sancisce degli importanti principi per le aziende in tema di sanzioni irrogate dal Garante, attraverso provvedimenti amministrativi. Innanzitutto, la Suprema Corte cristallizza il principio per cui la sanzione massima non è determinata nella sanzione “percentuale”, ma nella sanzione “numerica”. Questo significa che una società potrebbe essere sanzionata per una cifra superiore a quella del 4% del suo fatturato mondiale annuo (fino ad un massimo di 20.000.000 EUR), fintanto che la sanzione è effettiva, proporzionata e dissuasiva. Inoltre, il giudice ordinario, secondo la Cassazione, ben può modificare una sanzione irrogata dal Garante, qualora lo ritenga necessario.
Su un argomento simile può essere interessante l’articolo “La violazione della normativa privacy non integra sempre un reato secondo la Cassazione”.
Autore: Enila Elezi
