Con sentenza del 5 dicembre 2023 resa nella causa C-683/21, la Corte di Giustizia europea ha fornito nuovi utili chiarimenti in merito ai criteri di applicazione delle sanzioni amministrative da parte delle Autorità di controllo, qualora si registri una violazione del GDPR.
In linea generale, la Corte di Giustizia, definendo anche cosa debba intendersi per “trattamento” e per “titolare del trattamento”, chiarisce che per poter procedere all’applicazione di una sanzione di natura amministrativa, occorre che si sia in presenza di un “comportamento illecito”, inteso come un’infrazione commessa intenzionalmente o per negligenza.
La Corte rende utili chiarimenti anche in merito al tema della determinazione dell’ammenda nel caso in cui il destinatario della sanzione sia parte di un gruppo di società, statuendo che la quantificazione dell’ammenda deve essere calcolata non sulla base del fatturato della società oggetto di esame, ma sul fatturato dell’intero gruppo di appartenenza.
Indice degli argomenti
Il caso esaminato dalla Corte
La sentenza del 5 dicembre trae origine da una domanda pregiudiziale avanzata da parte di un tribunale lituano e di un tribunale tedesco al fine di ottenere indicazioni circa le possibilità di interpretazione dell’articolo 4, punti 2 e 7, dell’articolo 26, paragrafo 1, e dell’articolo 83, paragrafo 1, del regolamento (UE) 2016/679.
Quest’ultima norma prevede che le sanzioni amministrative pecuniarie inflitte da parte delle autorità di controllo “siano in ogni singolo caso effettive, proporzionate e dissuasive”. All’articolo 58, a corredo di quanto delineato dall’art. 83, si prevede poi che l’autorità di controllo, nella determinazione della sanzione pecuniaria, debba tenere conto dei seguenti elementi:
- la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
- il carattere doloso o colposo della violazione;
- le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
- il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
- eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
- il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
- le categorie di dati personali interessate dalla violazione;
- la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
- qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
- l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42; e
- eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.
Alla luce di quanto previsto dalla normativa, i destinatari delle sanzioni, che avanzavano ricorso presso il tribunale lituano e il tribunale tedesco, impugnavano presso le autorità competenti i provvedimenti di applicazione delle sanzioni pecuniare affermando che essendo la società sanzionata non potesse essere considerata quale titolare del trattamento, e dunque che la sanzione applicata fosse sproporzionata, non avendo posto in essere “azioni deliberatamente coordinate per determinare la finalità e i mezzi del trattamento dei dati”.
Il giudice del rinvio sollevava, pertanto, alla CGUE una serie di questioni pregiudiziali, inerenti sia alla qualificazione di un soggetto quale “titolare del trattamento” sia alla determinazione delle sanzioni pecuniarie applicabili al soggetto individuato quale titolare.
La titolarità del trattamento
Prendendo posizione sulle questioni pregiudiziali sollevate dai tribunali del rinvio, la Corte di Giustizia fornisce dei chiarimenti essenziali sia sulla definizione di titolare del trattamento che sulla quantificazione delle sanzioni.
In primo luogo, la Corte chiarisce che debba ritenersi contitolare del trattamento qualsiasi persona, sia fisica che giuridica, che “influisca, per fini che le sono propri, sul trattamento di tali dati e partecipi pertanto alla determinazione delle finalità e dei mezzi di tale trattamento può essere considerata titolare di detto trattamento”, non essendo necessario che le finalità e i mezzi del trattamento siano determinati mediante orientamenti scritti o istruzioni da parte del titolare del trattamento, né che quest’ultimo sia stato formalmente designato come tale.
Di conseguenza, il titolare del trattamento, nel caso di specie, era individuato anche nell’ente che incaricava un’impresa “di sviluppare un’applicazione informatica mobile e che, in tale contesto, ha partecipato alla determinazione delle finalità e dei mezzi del trattamento dei dati personali effettuato mediante tale applicazione, anche se tale ente non ha proceduto, esso stesso, a operazioni di trattamento di tali dati, non ha dato esplicitamente il proprio consenso alla realizzazione delle operazioni concrete di un siffatto trattamento o alla messa a disposizione del pubblico di detta applicazione mobile e non ha acquisito quella stessa applicazione mobile” salva l’ipotesi in cui l’ente medesimo si sia “espressamente opposto ad essa e al trattamento dei dati personali che ne è derivato”.
Non solo: quando si parla di applicazioni mobili, si è in presenza di un “trattamento” anche quando l’uso di dati personali è funzionale alla sola fase di test informatici sull’applicazione, “salvo che tali dati siano stati resi anonimi in modo da impedire o da non consentire più l’identificazione dell’interessato o che si tratti di dati fittizi che non si riferiscono a una persona fisica esistente”.
Anche sul tema della contitolarità, la Corte chiarisce che una lettura combinata dell’articolo 4, punto 7, e l’articolo 26, paragrafo 1, del GDPR consente di affermare che affinché due enti siano qualificabili quali contitolari del trattamento non deve necessariamente esistere, come presupposto, un accordo tra gli stessi sulla determinazione delle finalità e dei mezzi del trattamento dei dati personali o un accordo che fissi le condizioni della contitolarità del trattamento.
La determinazione della sanzione GDPR
Il giudice del rinvio richiedeva alla CGUE anche di chiarire se “l’articolo 83 del RGPD debba essere interpretato nel senso che, da un lato, una sanzione amministrativa pecuniaria può essere inflitta in applicazione di tale disposizione unicamente nel caso in cui sia accertato che il titolare del trattamento ha commesso, con dolo o colpa, una violazione di cui ai paragrafi da 4 a 6 di tale articolo e, dall’altro, siffatta sanzione pecuniaria può essere inflitta a un titolare del trattamento per quanto riguarda le operazioni di trattamento effettuate da un responsabile del trattamento per conto del titolare dello stesso”.
La domanda si poneva quale essenziale alla luce del fatto che il governo lituano e il Consiglio dell’UE affermassero che il legislatore dell’Unione avesse “inteso lasciare agli Stati membri un certo margine di discrezionalità nell’attuazione dell’articolo 83 del RGPD, consentendo loro di prevedere l’irrogazione di sanzioni amministrative pecuniarie in applicazione di tale disposizione, se del caso, senza che sia accertato che la violazione del RGPD oggetto di tale sanzione sia stata commessa con dolo o colpa”.
L’interpretazione resa dal governo lituano non viene accolta dalla CGUE, la quale, al contrario, sostiene che nulla nella formulazione dell’art. 83 GDPR lascia intendere che gli Stati Membri abbiano discrezionalità circa le condizioni sostanziali di applicazione della sanzione amministrativa pecuniaria.
Dette condizioni sostanziali, ai sensi dell’art. 83 par. 2 GDPR, si sostanziano “nel carattere doloso o colposo della violazione”, e dunque il titolare del trattamento non potrò essere ritenuto responsabile di una violazione che sorga in assenza di un suo comportamento colpevole.
Anche sull’aumento della sanzione per plurime violazioni del regolamento, l’art. 83 prevede quale condizione necessaria che vi sia il dolo o la colpa del titolare o del responsabile del trattamento.
Sono quindi esclusi dall’applicazione della sanzione amministrativa pecuniaria per le violazioni di cui ai paragrafi da 4 a 6 dell’art. 83, i titolari e i responsabili nei confronti dei quali non sia dimostrato che tale violazione sia stata commessa con dolo o colpa dal titolare del trattamento, costituendo la violazione colpevole una condizione per l’imposizione di una siffatta ammenda.
Alla luce delle suesposte considerazioni, la CGUE conclude che da un lato, una sanzione amministrativa pecuniaria può essere irrogata ai sensi dell’art. 83 GDPR “solo qualora sia accertato che il titolare del trattamento ha commesso, con dolo o colpa, una violazione di cui ai paragrafi da 4 a 6 di detto articolo”; dall’altro lato, la sanzione pecuniaria “può essere inflitta a un titolare del trattamento in relazione a operazioni di trattamento di dati personali effettuate per suo conto da un responsabile del trattamento, salvo che, nell’ambito di tali operazioni, detto responsabile del trattamento abbia effettuato trattamenti per finalità che gli sono proprie o abbia trattato tali dati in modo incompatibile con il quadro o le modalità del trattamento quali erano stati determinati dal titolare del trattamento o in modo tale che non si può ragionevolmente ritenere che tale titolare abbia a ciò acconsentito”.
