Regolamento sulla protezione dei dati, chiariti condizioni e calcolo delle sanzioni amministrative
La base del calcolo è una percentuale del fatturato annuo mondiale globale dell’esercizio precedente relativo all’impresa interessata
Solo una violazione dolosa o colposa del regolamento generale sulla protezione dei dati può condurre all’irrogazione di una sanzione amministrativa pecuniaria. Questa l’affermazione della Corte Ue contenuta nelle sentenze C-683/21 e C- 807/21 dove i giudici precisano anche che quando il destinatario della sanzione pecuniaria sia parte di un gruppo di società la sanzione va calcolata sulla base del fatturato del gruppo.
Il caso a quo
Un giudice lituano e un giudice tedesco hanno chiesto alla Corte di giustizia di interpretare il regolamento generale sulla protezione dei dati (Rgpd) riguardo alla possibilità, per le autorità nazionali di controllo, di sanzionare la violazione di tale regolamento mediante l’irrogazione di una sanzione amministrativa pecuniaria al titolare del trattamento dei dati.
Nel caso lituano, il Centro nazionale di Sanità pubblica del Ministero della Sanità contesta una sanzione pecuniaria di importo pari a 12.000 euro inflittagli con riferimento alla creazione, realizzata grazie all’assistenza di un’impresa privata, di un’applicazione mobile ai fini della registrazione e del controllo dei dati delle persone esposte alla Covid-19.
Nel caso tedesco, una società immobiliare, che detiene indirettamente circa 163.000 unità abitative e 3.000 unità commerciali, contesta, tra l’altro, una sanzione pecuniaria di più di 14 milioni di euro, inflittale per aver salvaguardato i dati personali dei locatari per un tempo superiore al necessario.
L’interpretazione fornita
La Corte dichiara che è possibile infliggere una sanzione amministrativa pecuniaria per violazione del Rgpd a un titolare del trattamento dei dati solo qualora detta violazione sia stata commessa in modo illecito, ossia dolosamente o colposamente.
La colpa o il dolo rilevanti
L’illecito si verifica una volta che il titolare del trattamento non poteva ignorare l’illiceità del suo comportamento, a prescindere dal fatto che abbia avuto, o meno, cognizione dell’infrazione.
Quando il titolare del trattamento è una persona giuridica, non è necessario che la violazione sia stata commessa da un suo organo amministrativo o che quest’organo ne abbia avuto conoscenza. Una persona giuridica è responsabile sia delle violazioni commesse dai suoi rappresentanti, direttori o amministratori, sia di quelle commesse da chiunque agisca nel quadro della sua attività commerciale o per suo conto.
Presupposti della sanzione
Infine, la Corte di giustizia precisa le condizioni in presenza delle quali le autorità nazionali di controllo possono infliggere una sanzione pecuniaria amministrativa a uno o più titolari del trattamento per violazione del regolamento generale sulla protezione dei dati.
In particolare, essa giudica che l’imposizione di una siffatta sanzione presuppone un comportamento illecito, ossia che la violazione sia stata commessa in modo doloso o colposo e se il destinatario della sanzione pecuniaria è parte di un gruppo di società, il calcolo dell’ammenda deve basarsi sul fatturato del gruppo intero. E l’irrogazione di una sanzione amministrativa pecuniaria a una persona giuridica nella sua qualità di titolare del trattamento non può essere subordinata alla previa constatazione che detta violazione è stata commessa da una persona fisica identificata.
A un titolare del trattamento può essere inflitta una sanzione pecuniaria anche per operazioni effettuate da un subappaltatore, nei limiti in cui tali operazioni possano essere imputate al titolare del trattamento.
E sulla contitolarità di due o più enti, la Corte precisa che quest’ultima discende dal mero fatto che detti enti abbiano partecipato alla determinazione delle finalità e dei mezzi del trattamento. La qualificazione di«contitolari» non presuppone l’esistenza di un accordo formale tra gli enti coinvolti. Risulta sufficiente una decisione comune, come pure delle decisioni convergenti. Va pure precisato che se si tratta effettivamente di contitolari, questi ultimi devono stabilire, di comune accordo, i loro obblighi rispettivi.
Per quanto concerne il calcolo della sanzione pecuniaria se il destinatario è o fa parte di un’impresa, l’autorità di controllo deve basarsi sulla nozione di «impresa», propria del diritto della concorrenza.
Pertanto, l’importo massimo della sanzione pecuniaria dev’essere calcolato sulla base di una percentuale del fatturato annuo mondiale globale dell’esercizio precedente dell’impresa interessata, considerata nel suo insieme.
