TUTELA DEI DATI PERSONALI
Corte di Giustizia UE: il massimo dell’ammenda per le violazioni del GDPR va calcolato sul fat-turato del gruppo di cui fa parte la società coinvolta nella condotta illecita.
La sentenza della Corte di Giustizia dell'Unione Europea (CGUE) nella causa C-383/23 affronta l'interpretazione dell'articolo 83 del Regolamento generale sulla protezione dei dati (RGPD), in particolare riguardo alla definizione di "impresa" e ai criteri per il calcolo delle sanzioni pecuniarie in caso di violazioni del regolamento.
La Corte ha ribadito che il concetto di "impresa" nel diritto dell'UE non si riferisce esclusivamente a una singola entità giuridica, ma include anche un insieme di società che operano come un'unità economica.
Pertanto, se una società figlia viola il RGPD, l'autorità di controllo può considerare l'intero gruppo di imprese a cui appartiene, compresa la società madre, come un'unica entità economica responsabile della violazione.
Il fatturato annuo di riferimento per determinare l'ammontare della sanzione può includere non solo quello della società direttamente coinvolta nella violazione, ma anche quello della società madre e delle altre entità collegate, se fanno parte della stessa unità economica.
Questo approccio è in linea con la logica delle sanzioni previste dal RGPD, che devono essere efficaci, proporzionate e dissuasive.
La Corte ha sottolineato che la finalità delle sanzioni nel RGPD è garantire il rispetto delle norme sulla protezione dei dati. L’applicazione di sanzioni più elevate, basate sul fatturato del gruppo, mira a impedire che grandi aziende possano eludere le regole affidandosi a società figlie di dimensioni minori per ridurre la portata delle sanzioni.
La decisione è in linea con la giurisprudenza della Corte in materia di diritto della concorrenza, dove il concetto di "impresa" è già stato interpretato in senso ampio per evitare strategie di elusione delle norme.
La Corte ha ribadito che il concetto di "impresa" nel diritto dell'UE non si riferisce esclusivamente a una singola entità giuridica, ma include anche un insieme di società che operano come un'unità economica.
Pertanto, se una società figlia viola il RGPD, l'autorità di controllo può considerare l'intero gruppo di imprese a cui appartiene, compresa la società madre, come un'unica entità economica responsabile della violazione.
Il fatturato annuo di riferimento per determinare l'ammontare della sanzione può includere non solo quello della società direttamente coinvolta nella violazione, ma anche quello della società madre e delle altre entità collegate, se fanno parte della stessa unità economica.
Questo approccio è in linea con la logica delle sanzioni previste dal RGPD, che devono essere efficaci, proporzionate e dissuasive.
La Corte ha sottolineato che la finalità delle sanzioni nel RGPD è garantire il rispetto delle norme sulla protezione dei dati. L’applicazione di sanzioni più elevate, basate sul fatturato del gruppo, mira a impedire che grandi aziende possano eludere le regole affidandosi a società figlie di dimensioni minori per ridurre la portata delle sanzioni.
La decisione è in linea con la giurisprudenza della Corte in materia di diritto della concorrenza, dove il concetto di "impresa" è già stato interpretato in senso ampio per evitare strategie di elusione delle norme.
