TUTELA DEI DATI PERSONALI
Corte di Giustizia UE: condizioni per l'applicabilità e il computo delle sanzioni pecuniarie amministrative per violazione del GDPR.
Con le sentenze nelle cause C-683/21 | Nacionalinis visuomenės sveikatos centras e C-807/21 | Deutsche Wohnen la Corte di Giustizia UE ha precisato le condizioni in presenza delle quali le autorità nazionali di controllo possono infliggere una sanzione pecuniaria amministrativa a uno o più titolari del trattamento per violazione del regolamento generale sulla protezione dei dati. L’irrogazione della sanzione presuppone un comportamento illecito, ossia che la violazione sia stata commessa in modo doloso o colposo dal titolare del trattamento, più precisamente quando detto titolare non poteva ignorare l’illiceità del suo comportamento, a prescindere dal fatto che abbia avuto, o meno, cognizione dell’infrazione.
Quando il titolare del trattamento è una persona giuridica, non è necessario che la violazione sia stata commessa da un suo organo amministrativo o che quest’organo ne abbia avuto conoscenza. Al contrario, una persona giuridica è responsabile sia delle violazioni commesse dai suoi rappresentanti, direttori o amministratori, sia di quelle commesse da chiunque agisca nel quadro della sua attività commerciale o per suo conto: e questo è un punto assai rischioso per tutte le entità che non curano adeguatamente gli aspetti contrattuali data protection non solo con i responsabili esterni (“per suo conto”) ma anche e soprattutto con “chiunque agisca nel quadro della sua attività commerciale”. Evidenzia difatti la Corte UE che a un titolare del trattamento può essere inflitta una sanzione pecuniaria anche per operazioni effettuate da un subappaltatore, nei limiti in cui tali operazioni possano essere imputate al titolare del trattamento.
Altri aspetti interessanti delle due sentenze: (1) l’irrogazione di una sanzione amministrativa pecuniaria a una persona giuridica nella sua qualità di titolare del trattamento non può essere subordinata alla previa constatazione che detta violazione è stata commessa da una persona fisica identificata; (2) la qualificazione di «contitolari» non presuppone l’esistenza di un accordo formale tra gli enti in questione, bastando una decisione comune, come pure alcune decisioni convergenti (principio già noto ai sensi delle Linee Guida 7/2020 dell’EDPB); (3) per il calcolo della sanzione pecuniaria, quando il destinatario è o fa parte di un’impresa, l’autorità di controllo deve basarsi sulla nozione di «impresa» del diritto della concorrenza (definizione ripresa anche nell’articolo 4 del RGPD, cioè qualsiasi ente che esercita un’attività economica, a prescindere dal suo status giuridico e dalle sue modalità di finanziamento, anche qualora, sotto il profilo giuridico, tale unità economica sia costituita da più persone fisiche o giuridiche) e - conseguentemente - quando il destinatario della sanzione pecuniaria è una persona giuridica parte di un gruppo di società, il calcolo dell’ammenda deve basarsi sul fatturato del gruppo intero.
Quando il titolare del trattamento è una persona giuridica, non è necessario che la violazione sia stata commessa da un suo organo amministrativo o che quest’organo ne abbia avuto conoscenza. Al contrario, una persona giuridica è responsabile sia delle violazioni commesse dai suoi rappresentanti, direttori o amministratori, sia di quelle commesse da chiunque agisca nel quadro della sua attività commerciale o per suo conto: e questo è un punto assai rischioso per tutte le entità che non curano adeguatamente gli aspetti contrattuali data protection non solo con i responsabili esterni (“per suo conto”) ma anche e soprattutto con “chiunque agisca nel quadro della sua attività commerciale”. Evidenzia difatti la Corte UE che a un titolare del trattamento può essere inflitta una sanzione pecuniaria anche per operazioni effettuate da un subappaltatore, nei limiti in cui tali operazioni possano essere imputate al titolare del trattamento.
Altri aspetti interessanti delle due sentenze: (1) l’irrogazione di una sanzione amministrativa pecuniaria a una persona giuridica nella sua qualità di titolare del trattamento non può essere subordinata alla previa constatazione che detta violazione è stata commessa da una persona fisica identificata; (2) la qualificazione di «contitolari» non presuppone l’esistenza di un accordo formale tra gli enti in questione, bastando una decisione comune, come pure alcune decisioni convergenti (principio già noto ai sensi delle Linee Guida 7/2020 dell’EDPB); (3) per il calcolo della sanzione pecuniaria, quando il destinatario è o fa parte di un’impresa, l’autorità di controllo deve basarsi sulla nozione di «impresa» del diritto della concorrenza (definizione ripresa anche nell’articolo 4 del RGPD, cioè qualsiasi ente che esercita un’attività economica, a prescindere dal suo status giuridico e dalle sue modalità di finanziamento, anche qualora, sotto il profilo giuridico, tale unità economica sia costituita da più persone fisiche o giuridiche) e - conseguentemente - quando il destinatario della sanzione pecuniaria è una persona giuridica parte di un gruppo di società, il calcolo dell’ammenda deve basarsi sul fatturato del gruppo intero.
