Martedì 5 dicembre, la Corte di Giustizia Europea ha emesso una sentenza storica che semplificherà l’applicazione delle sanzioni per le violazioni del Regolamento Generale sulla Protezione dei Dati (GDPR).
Nella sentenza, la Corte ha stabilito le condizioni in cui le autorità nazionali di controllo possono sanzionare i responsabili del trattamento dei dati personali con una multa amministrativa per violazione del regolamento generale sulla protezione dei dati.
La sentenza della Corte di Giustizia Europea (CGUE) renderà più agevole per le autorità di protezione dei dati sanzionare le violazioni delle norme dell’Unione Europea sulla protezione dei dati e potrebbe comportare sanzioni più elevate in media.
Il verdetto a livello dell’Unione Europea è il risultato di due tribunali nazionali, uno in Lituania e uno in Germania, che richiedono chiarimenti sulle condizioni per imporre sanzioni ai responsabili del trattamento dei dati.
La Corte dichiara che è possibile infliggere una sanzione amministrativa pecuniaria per violazione del Rgpd a un titolare del trattamento dei dati solo qualora detta violazione sia stata commessa in modo illecito, ossia dolosamente o colposamente.
I casi a quo
Un giudice lituano e un giudice tedesco hanno presentato una richiesta alla Corte di Giustizia per ottenere un’interpretazione del Regolamento Generale sulla Protezione dei Dati (RGPD) riguardo alla possibilità delle autorità nazionali di controllo di sanzionare il titolare del trattamento dei dati con una sanzione amministrativa pecuniaria per la violazione del suddetto regolamento.
Il caso Deutsche Wohnen
Il Caso di DW: GDPR e Responsabilità Aziendale
Introduzione al Caso
La recente vicenda che ha coinvolto la società immobiliare DW ha sollevato questioni fondamentali riguardanti l’applicazione del GDPR in Germania. DW, una società che gestisce un vasto portfolio di unità abitative e commerciali, si è trovata al centro di un contenzioso significativo per presunte violazioni del GDPR, con implicazioni che vanno ben oltre il caso specifico.
Violazioni e Sanzioni
Nel 2017, le autorità di protezione dei dati di Berlino hanno rilevato che DW stava utilizzando un sistema di archiviazione dei dati personali potenzialmente non conforme al GDPR. Nonostante l’impegno a trasferire tali dati in un sistema più sicuro, DW non ha effettuato le modifiche necessarie. Di conseguenza, nel 2019, la DPA ha imposto a DW una sanzione di 14,385 milioni di euro per violazioni intenzionali di varie disposizioni del GDPR.
Questioni Giuridiche Sollevate
La controversia ha portato alla luce la tensione tra il regime di responsabilità limitata delle persone giuridiche, come previsto dal diritto nazionale tedesco, e il regime di responsabilità diretta delle imprese delineato dall’articolo 83 del GDPR. Il dibattito si è concentrato sulla possibilità di irrogare sanzioni amministrative direttamente alle imprese senza dover attribuire la violazione a una persona fisica specifica.
Ricorsi e Decisioni Giudiziarie
DW ha impugnato la sanzione, portando il caso davanti al tribunale regionale di Berlino. Successivamente, la Procura di Berlino ha presentato ricorso al Tribunale regionale superiore, che ha sollevato questioni pregiudiziali alla CGUE per chiarire l’interpretazione dell’articolo 83 GDPR.
Il caso Centro nazionale lituano di sanità pubblica del Ministero della Salute
In un mondo sconvolto dalla pandemia di COVID-19, il governo lituano ha adottato misure tecnologiche per monitorare la diffusione del virus. Tuttavia, queste misure hanno sollevato significative questioni legali e di privacy che hanno portato a un’indagine approfondita e a sanzioni da parte dell’Autorità per la protezione dei dati lituana (DPA).
Il 24 marzo 2020 segna l’inizio di un’iniziativa critica: il Ministro della Salute lituano autorizza la creazione di un sistema informatico per tracciare i dati dei cittadini esposti al COVID-19.
1Selezione dell’Esecutore
Tre giorni dopo, il Centro nazionale di sanità pubblica lituano (CNSP) incarica la società “IT sprendimai sėkmei” (ITSS) di sviluppare l’applicazione mobile necessaria.
Implementazione e Privacy
L’applicazione diventa operativa ad aprile e rimane attiva fino a maggio 2020, con 3802 utenti che condividono dati sensibili come identità e posizione geografica.
Il 10 aprile, il CNSP è incaricato di formalizzare l’acquisizione dell’app da ITSS, ma non viene stipulato alcun contratto pubblico, lasciando l’acquisto in una zona grigia legale.
Il finanziamento cade attraverso, come rivelato in una comunicazione del 4 giugno, mettendo fine a qualsiasi processo di appalto in corso.
Indagine e Sanzioni della DPA
Il 18 maggio, la DPA inizia un’indagine sull’app e il trattamento dei dati raccolti, scoprendo violazioni multiple del GDPR.
Le Sanzioni
Il 24 febbraio 2021, la DPA impone sanzioni pecuniarie sia al CNSP che a ITSS per un totale di 15.000 euro per non conformità al GDPR.
Ricorso al Tribunale
Il CNSP contesta la decisione della DPA, portando il caso al Tribunale amministrativo regionale di Vilnius e sollevando questioni sull’interpretazione del ruolo di “responsabile del trattamento”.
Questioni Pregiudiziali alla CGUE
Il tribunale sospende il caso e presenta domande pregiudiziali alla Corte di Giustizia dell’Unione Europea (CGUE), cercando chiarimenti su definizioni chiave e responsabilità nel GDPR.
La sentenza della Corte di Giustizia EU.
Solo una violazione intenzionale o negligente del regolamento generale sulla protezione dei dati può comportare l’imposizione di una sanzione amministrativa pecuniaria.
Secondo la Corte di Giustizia, è possibile infliggere una sanzione amministrativa pecuniaria per violazione del RGPD solo se tale violazione è stata commessa in modo illecito, cioè intenzionalmente o per negligenza.
La violazione intenzionale o per negligenza del regolamento si verifica quando il titolare non può ignorare la illiceità del proprio comportamento, indipendentemente dalla consapevolezza dell’infrazione.
La colpa o il dolo rilevanti
L’illecito si verifica quando il responsabile del trattamento non poteva ignorare la sua condotta illecita, indipendentemente dal fatto che fosse a conoscenza o meno della violazione.
Quando una persona giuridica è il titolare del trattamento, non è necessario che la violazione sia stata commessa da uno dei suoi organi amministrativi o che tale organo ne abbia avuto conoscenza. Una persona giuridica è responsabile sia delle violazioni commesse dai suoi rappresentanti, direttori o amministratori, sia di quelle commesse da chiunque agisca nell’ambito della sua attività commerciale o per suo conto.
Solo una violazione intenzionale o negligente del regolamento generale sulla protezione dei dati può comportare l’imposizione di una sanzione amministrativa pecuniaria. Questa è l’affermazione della Corte UE contenuta nelle sentenze C-683/21 e C-807/21, in cui i giudici precisano anche che se il destinatario della sanzione pecuniaria fa parte di un gruppo di società, la sanzione deve essere calcolata in base al fatturato del gruppo.
La storica decisione odierna della Corte di Giustizia dell’Unione Europea sulle sanzioni amministrative GDPR rafforza l’applicazione del GDPR dell’UE, riducendo i requisiti per l’imposizione di sanzioni alle persone giuridiche.
Secondo la decisione odierna, ai titolari del trattamento può essere inflitta una sanzione per violazione quando la violazione è stata commessa in modo illegittimo, ovvero intenzionalmente o per negligenza.
Inoltre, il titolare del trattamento potrebbe essere soggetto a una sanzione “per le operazioni svolte da un responsabile del trattamento, nella misura in cui il titolare del trattamento può essere considerato responsabile di tali operazioni”.
L’ignoranza della legge non scusa
Anche l’ignoranza della violazione non può essere considerata una scusa, poiché la società è responsabile delle violazioni commesse da coloro che agiscono per suo conto.
“La multa non richiede alcuna azione o conoscenza da parte dell’organo amministrativo dell’azienda
Per “minimizzare i rischi di responsabilità” in futuro, le aziende dovranno “garantire che i dipendenti ricevano istruzioni più chiare sulla protezione dei dati e che queste siano attentamente monitorate”
La sanzione inflitta al gruppo di imprese
Nel caso in cui il destinatario della sanzione pecuniaria sia parte di un gruppo di società, l’importo dell’ammenda deve essere calcolato in base al fatturato dell’intero gruppo.
L’effettivo responsabile della violazione
Inoltre, l’imposizione di una sanzione amministrativa pecuniaria a una persona giuridica in qualità di titolare del trattamento non può essere condizionata dalla previa constatazione che tale violazione sia stata commessa da una persona fisica identificata.
Un titolare del trattamento può essere sanzionato anche per le operazioni effettuate da un subappaltatore, a condizione che tali operazioni possano essere attribuite al titolare stesso.
Inoltre, la Corte precisa che quando il titolare del trattamento è una persona giuridica, non è necessario che la violazione sia stata commessa da un suo organo amministrativo o che quest’ultimo ne sia stato a conoscenza.
Nel caso delle persone giuridiche, la società è responsabile sia se la violazione è stata commessa dai suoi rappresentanti, direttori o amministratori, sia nel caso in cui sia commessa da chiunque agisca nel contesto della sua attività commerciale o per suo conto.
Non è necessario identificare preventivamente la persona fisica responsabile della violazione.
L’ipotesi di contitolarità
E riguardo alla contitolarità di due o più enti, la Corte precisa che questa deriva semplicemente dal fatto che tali enti abbiano partecipato alla determinazione delle finalità e dei mezzi del trattamento.
La qualifica di “contitolari” non presuppone l’esistenza di un accordo formale tra gli enti coinvolti.
È necessaria una decisione condivisa, così come decisioni che convergano.
Nel caso in cui due o più enti siano co-titolari, tale situazione deriva semplicemente dal fatto che tali enti hanno partecipato alla definizione degli obiettivi e dei metodi di trattamento.
“È sufficiente una decisione comune, così come alcune decisioni convergenti”.
Inoltre, è importante precisare che se si tratta effettivamente di contitolari, questi ultimi devono stabilire di comune accordo i loro rispettivi obblighi.
Il calcolo della sanzione
Per quanto riguarda il calcolo delle sanzioni pecuniarie per le imprese, l’autorità di controllo deve fare riferimento alla definizione di “impresa” nel diritto della concorrenza.
Di conseguenza, l’importo massimo delle sanzioni pecuniarie deve essere calcolato come una percentuale del fatturato annuo mondiale dell’anno precedente dell’impresa interessata, considerando l’intera entità dell’impresa.
Per poter irrogare una sanzione, secondo la Corte, è necessario che vi sia un comportamento illecito, attribuibile a dolo o colpa. Nel caso in cui il destinatario della sanzione pecuniaria sia parte di un gruppo di società, l’importo da pagare sarà calcolato considerando il fatturato dell’intero gruppo.
Conclusioni
Questa decisione della CGUE rappresenta un punto di svolta nell’applicazione del GDPR e nella definizione della responsabilità aziendale. Mette in evidenza l’importanza per le aziende di adottare misure adeguate per garantire la conformità al GDPR, poiché possono essere direttamente sanzionate senza dover identificare un colpevole individuale all’interno dell’organizzazione. La sentenza ribadisce inoltre il principio secondo cui la protezione dei dati personali è una responsabilità che grava su tutte le entità coinvolte nel trattamento dei dati.
