La sentenza della CGUE nella causa C-683/21 si colloca in un contesto giuridico di fondamentale importanza per l’interpretazione e l’applicazione del Regolamento Generale sulla Protezione dei Dati (GDPR).
Questo caso ha attirato l’attenzione degli addetti ai lavori in tutta l’Unione Europea poiché mette in discussione alcuni aspetti cruciali relativi alle infrazioni del GDPR e alle conseguenti sanzioni amministrative.
In particolare, la decisione della Corte offre una nuova prospettiva sulle modalità con cui le autorità di controllo dovrebbero valutare le violazioni del regolamento.
Il fulcro della pronuncia in commento riguarda, infatti, l’interpretazione dei criteri per stabilire la gravità delle infrazioni e la correlata imposizione di sanzioni. Questo aspetto è di vitale importanza poiché stabilisce un precedente su come le organizzazioni, in qualità di titolari del trattamento dei dati, dovrebbero approcciarsi alla conformità al GDPR.
Si cercherà di evidenziare come la sentenza metta in luce la necessità di una valutazione equilibrata e proporzionata delle infrazioni, sottolineando l’inesistenza (e il divieto) di automatismi nella applicazione delle relative sanzioni.
GDPR, decisione storica della Cassazione: ecco i parametri delle sanzioni privacy
Indice degli argomenti
La proporzionalità delle sanzioni tra Lituania e Germania
Il caso considerato dalla CGUE riguarda specificamente due scenari distinti: il primo, un caso lituano in cui il Centro Nazionale di Sanità Pubblica è stato multato per aver creato un’applicazione mobile per monitorare i dati delle persone esposte al Covid-19; il secondo, un caso tedesco in cui la società immobiliare Deutsche Wohnen ha contestato una multa per aver conservato dati personali dei suoi inquilini oltre il necessario.
In entrambi i casi, i giudici hanno esaminato il principio della proporzionalità nella determinazione delle sanzioni, sottolineando l’importanza di considerare il fatturato complessivo del gruppo di aziende nel calcolo delle multe.
Questo orientamento deriva dall’articolo 83(5) del GDPR, che prevede che le multe possano arrivare fino al 4% del fatturato annuo globale totale dell’anno precedente dell’impresa. Ne risulta in modo palese che le questioni sollevate nella sentenza del caso C-683/21 hanno un impatto significativo sulla comprensione e applicazione del GDPR, specialmente riguardo alle infrazioni e all’ambito di applicazione delle sue norme.
La sentenza fornisce chiarimenti su aspetti cruciali quali l’intenzionalità e la negligenza nelle infrazioni al GDPR, stabilendo che una condotta illecita può essere ritenuta tale solo se commessa intenzionalmente o per negligenza.
Questo principio si riflette nell’articolo 83 del GDPR, che stabilisce i criteri per la determinazione delle sanzioni amministrative.
Responsabilità del trattamento: il divieto di automatismo nell’applicazione delle sanzioni
Da un lato, la Corte evidenzia la responsabilità delle organizzazioni nel garantire la conformità al GDPR, estendendo la responsabilità per le violazioni non solo agli organi direttivi ma a qualsiasi persona che agisca nell’ambito dell’attività dell’entità legale e per suo conto. Questo amplia il campo di applicazione delle norme del GDPR, rendendo le organizzazioni responsabili per una gamma più ampia di attività e comportamenti.
Dall’altro lato, tuttavia, l’aspetto realmente innovativo della pronuncia in commento risiede nell’affermazione di un delicato equilibrio tra la necessità di imporre sanzioni deterrenti e l’obbligo di assicurare che queste siano proporzionate e giustificate.
Questo aspetto è particolarmente rilevante alla luce dell’articolo 83 del GDPR, che stabilisce i criteri generali per l’imposizione di sanzioni amministrative. Tale norma va letta, secondo la Corte, in combinato disposto con l’art. 58 il quale fornisce alle autorità di controllo un ventaglio di poteri correttivi, inclusa la possibilità di imporre sanzioni pecuniarie.
Le sanzioni previste dal GDPR non sono solo elevate, ma sono calibrate in base alla natura, gravità e durata dell’infrazione, considerando anche l’intenzionalità e la cooperazione del trasgressore con le autorità di controllo.
Questo approccio riflette un cambio di paradigma rispetto ai precedenti regimi normativi in materia di protezione dei dati, dove le sanzioni erano spesso viste come insufficienti per incentivare la conformità.
Il caso C-683/21 evidenzia l’importanza di un’interpretazione ponderata di questi poteri sanzionatori. Prendendo in considerazione le dimensioni dell’ente, il suo fatturato annuo, e la natura dei dati trattati, il GDPR mira a bilanciare efficacemente la tutela dei diritti dei titolari dei dati con le realtà operative delle organizzazioni.
La sentenza richiama l’attenzione sul fatto che le sanzioni non dovrebbero essere viste come l’unico strumento per garantire la conformità, quanto piuttosto come parte di un ampio insieme di misure atte a promuovere una cultura della protezione dei dati.
Infine, la sentenza C-683/21 della Corte di Giustizia dell’Unione Europea rappresenta un punto di svolta anche per i titolari del trattamento e i responsabili del trattamento dati nel contesto del GDPR.
Questa decisione enfatizza la necessità di una comprensione approfondita e di un’attuazione scrupolosa delle normative sulla protezione dei dati, mettendo in evidenza come la non conformità possa portare a conseguenze significative.
I titolari del trattamento e i responsabili devono ora considerare con maggiore attenzione il rispetto degli obblighi imposti dal GDPR, in particolare quelli relativi al principio di accountability (articolo 5(2) del GDPR), che richiede di dimostrare la conformità con i principi del regolamento.
Ciò include l’adozione di misure appropriate per garantire e poter dimostrare che il trattamento è effettuato in conformità con il GDPR (articolo 24), nonché la revisione e l’aggiornamento delle politiche di protezione dei dati e delle procedure di sicurezza.
Per adeguarsi a questa nuova interpretazione del GDPR, le organizzazioni devono effettuare valutazioni di impatto sulla protezione dei dati (DPIA) per operazioni di trattamento che presentano un alto rischio per i diritti e le libertà delle persone (articolo 35), e devono assicurarsi di avere un Responsabile della protezione dei dati (DPO) qualificato, se necessario (articolo 37).
Inoltre, è fondamentale che i titolari del trattamento e i responsabili instaurino un dialogo costruttivo con le autorità di controllo e rispondano prontamente a eventuali preoccupazioni o richieste di chiarimento.
L’addestramento del personale e la sensibilizzazione interna sui requisiti del GDPR sono passi essenziali per rafforzare la cultura della protezione dei dati all’interno delle organizzazioni.
Conclusioni
La sentenza C-683/21 segna un momento di riflessione e, forse, di svolta nella giurisprudenza relativa al GDPR, incidendo profondamente sull’approccio che le autorità di controllo e le organizzazioni devono adottare verso il trattamento dei dati personali e le relative sanzioni.
Il principio di proporzionalità, già fondamentale nel diritto amministrativo e nell’applicazione delle sanzioni, assume una dimensione ancora più centrale nel contesto della protezione dei dati, come sottolineato dalla Corte di Giustizia dell’Unione Europea.
La Corte ha stabilito che l’applicazione delle sanzioni deve essere misurata non solo in termini di conformità alle norme, ma anche in considerazione del contesto economico e del potenziale impatto sulle attività delle organizzazioni.
La decisione rende evidente che le sanzioni non possono e non devono essere automatizzate, ma devono risultare da un’attenta valutazione caso per caso, tenendo conto di tutte le circostanze rilevanti, tra cui la natura, gravità, durata dell’infrazione e l’intenzionalità o negligenza del trasgressore.
Tali conclusioni non solo ribadiscono la responsabilità delle organizzazioni nel garantire la conformità al GDPR, ma apre anche la strada a un approccio più equo e bilanciato, dove le sanzioni diventano uno strumento tra molti a disposizione delle autorità per garantire la protezione dei dati.
