Solo una violazione dolosa o colposa del regolamento generale sulla protezione dei dati può condurre all’irrogazione di una sanzione amministrativa pecuniaria.
La Corte di Giustizia dell’Unione Europea Corte di Giustizia UE, Grande Sezione, 5 dicembre 2023, cause riunite C-683/21, C-807/21,ECLI EU C 2023 949 si pronuncia in tema di privacy e segnatamente circoscrive le condizioni in presenza delle quali le autorità nazionali di controllo possono infliggere una sanzione amministrativa pecuniaria a uno o più titolari del trattamento per violazione del regolamento generale sulla protezione dei dati personali. Per poter irrogare la sanzione, a parere della Corte, occorre che vi sia in essere un comportamento illecito , quindi ascrivibile a titolo di dolo o colpa nel caso in cui il destinatario della sanzione pecuniaria sia parte di un gruppo di società , il calcolo della relativa somma da pagare dovrà tener conto del fatturato dell’intero gruppo . Il caso origina dalla domanda effettuata da parte di un giudice lituano e di un giudice tedesco alla Corte di Giustizia dell’Unione Europea sull’interpretazione del regolamento generale in materia di protezione dei dati personali, sulla possibilità delle autorità nazionali di controllo di sanzionare le violazioni a tale regolamento e irrogare una sanzione amministrativa pecuniaria. La Corte di Giustizia si pronuncia affermando che è possibile infliggere una sanzione amministrativa pecuniaria per violazione del RGPD a un titolare del trattamento dei dati solo qualora detta violazione sia stata commessa in modo illecito , ossia dolosamente o colposamente . La violazione a titolo di dolo o colpa del regolamento avviene quando il titolare non può ignorare l’illiceità del proprio comportamento a prescindere della contezza dell’infrazione. Precisa, inoltre, la Corte che quando il titolare del trattamento è una persona giuridica , non è necessario che la violazione sia stata commessa da un suo organo amministrativo o che quest’organo ne abbia avuto conoscenza . Nel caso delle persone giuridiche, quindi, la società risponde sia che la violazione sia stata commessa dai suoi rappresentati, direttori o amministratori o anche nel caso in cui sia commessa da chiunque agisca nel quadro della sua attività commerciale o per suo conto . Non è inoltre richiesto che venga identificata previamente la persona fisica responsabile della violazione. Anche qualora la violazione del regolamento generale sia commessa da un subappaltatore , se le violazioni sono imputabili al titolare del trattamento potrà esser comminata a costui una sanzione amministrativa pecuniaria. Nel caso di contitolarità di due o più enti quest’ultima discende dal mero fatto che detti enti abbiano partecipato alla determinazione delle finalità e dei mezzi del trattamento. […] Basta una decisione comune, come pure alcune decisioni convergenti . Infine, sul calcolo della sanzione amministrativa pecuniaria, se il destinatario fa parte o è un’impresa, occorre far riferimento alla definizione concorrenziale di impresa” per cui l’importo massimo della sanzione pecuniaria va calcolato sulla base totale del fatturato annuo globale relativo all’esercizio precedente.