L’applicazione delle sanzioni ai sensi del GDPR secondo la Corte di Giustizia europea

Con una recente sentenza, la Corte di Giustizia dell’Unione Europea (“CGUE” o “Corte”) si è espressa sulle condizioni alle quali le autorità di controllo nazionali possono imporre una sanzione amministrativa a uno o più titolari del trattamento per una violazione del Regolamento UE 679/2016 (“GDPR” o “Regolamento”).

In particolare, secondo la Corte, l’imposizione una sanzione ai sensi dell’articolo 83 del GDPR richiede che vi sia un comportamento illecito da parte del titolare; in altre parole, che la violazione sia stata commessa intenzionalmente o per negligenza. Inoltre, nel caso di un gruppo di imprese, il calcolo della sanzione deve basarsi sul fatturato dell’intero gruppo.

1. La vicenda

La vicenda trae origine dall’inoltro di una domanda di pronuncia pregiudiziale alla CGUE, veicolata ai sensi dell’articolo 267 del Trattato sul Funzionamento dell’Unione Europea, da parte di un giudice lituano (nella C-683/21) e un giudice tedesco (nella C-807/21).

I giudici nazionali hanno adito la CGUE affinché questa potesse fornire la propria interpretazione dell’articolo 83 del GDPR, riguardo alle condizioni per l’irrogazione di sanzioni amministrative pecuniarie per la violazione del Regolamento.

In particolare, le contestazioni hanno avuto origine dai seguenti provvedimenti sanzionatori:

• nel caso lituano, il Centro nazionale di Sanità pubblica del Ministero della Sanità contestava una sanzione pecuniaria di importo pari a 12.000 euro inflittagli con riferimento alla creazione di un’applicazione mobile ai fini della registrazione e del controllo dei dati delle persone esposte al Covid-19, realizzata grazie all’assistenza di un’impresa privata; mentre
• nel caso tedesco, una società immobiliare, che detiene indirettamente centinaia di migliaia di unità abitative e unità commerciali, contestava, tra l’altro, una sanzione pecuniaria di più di 14 milioni di euro, inflittale per aver conservato i dati personali dei locatari per un tempo superiore al necessario.

2. L’interpretazione fornita dalla CGUE

Di seguito possono essere riassunti i principi di diritto elaborati dalla CGUE rese nelle cause C-683/21 e C-807/21 con riferimento alle modalità di irrogazione delle sanzioni amministrative pecuniarie per la violazione del GDPR:

• è possibile infliggere una sanzione amministrativa pecuniaria per la violazione del GDPR a un titolare del trattamento dei dati solo qualora detta violazione sia stata commessa dolosamente o colposamente. Tale requisito è integrato nel momento in cui il titolare del trattamento non può ignorare l’illiceità del suo comportamento, a prescindere dal fatto che abbia avuto, o meno, cognizione dell’infrazione;
• quando il titolare del trattamento è una persona giuridica, non è necessario che la violazione sia stata commessa da un suo organo amministrativo o che quest’organo ne abbia avuto conoscenza. Al contrario, una persona giuridica è responsabile sia delle violazioni commesse dai suoi rappresentanti, direttori o amministratori, sia di quelle commesse da chiunque agisca nel quadro della sua attività commerciale o per suo conto;
• l’irrogazione di una sanzione amministrativa pecuniaria a una persona giuridica nella sua qualità di titolare del trattamento non può essere subordinata alla previa constatazione che detta violazione è stata commessa da una persona fisica identificata;
• a un titolare del trattamento può essere inflitta una sanzione pecuniaria anche per operazioni effettuate da un sub-fornitore (responsabile o sub-responsabile del trattamento), nei limiti in cui tali operazioni possano essere imputate al titolare del trattamento;
• quando il destinatario della sanzione pecuniaria fa parte di un gruppo di società, il calcolo della sanzione pecuniaria deve basarsi sul fatturato del gruppo intero;
• per quanto concerne il calcolo della sanzione pecuniaria quando il destinatario è o fa parte di un’impresa, l’autorità di controllo deve basarsi sulla nozione di «impresa», propria del diritto della concorrenza dell’Unione Europea, che comprende qualsiasi entità che eserciti un’attività economica, a prescindere dal suo status giuridico e dalle sue modalità di finanziamento. Pertanto, tale nozione si riferisce a un’unità economica anche qualora, sotto il profilo giuridico, la stessa sia costituita da più persone fisiche o giuridiche;
• l’importo massimo della sanzione pecuniaria dev’essere calcolato sulla base di una percentuale del fatturato annuo mondiale globale dell’esercizio precedente dell’impresa interessata, considerata nel suo insieme.

3. Alcune considerazioni per le aziende

Questo provvedimento è particolarmente interessante per le aziende a cui si applica il GDPR poiché chiarisce le c

ondizioni per l’applicazione di eventuali sanzioni amministrative pecuniarie, che potranno essere irrogate ogni qualvolta il titolare del trattamento non possa ignorare l’illiceità del suo comportamento, a prescindere dal fatto che abbia avuto, o meno, cognizione dell’infrazione.

Su un tema simile potrebbe interessarvi “La Cassazione fissa alcuni importanti principi in tema di sanzioni privacy ai sensi del GDPR”.