Solo una violazione dolosa o colposa del regolamento generale sulla protezione dei dati può condurre all’irrogazione di una sanzione amministrativa pecuniaria.
La Corte di Giustizia dell’Unione Europea Corte di Giustizia UE, Grande Sezione, 5 dicembre 2023, cause riunite C-683/21, C-807/21,ECLI EU C 2023 949 si pronuncia in tema di privacy e segnatamente circoscrive le condizioni in presenza delle quali le autorità nazionali di controllo possono infliggere una sanzione amministrativa pecuniaria a uno o più titolari del trattamento per violazione del regolamento generale sulla protezione dei dati personali. Per poter irrogare la sanzione, a parere della Corte, occorre che vi sia in essere un comportamento illecito, quindi ascrivibile a titolo di dolo o colpa nel caso in cui il destinatario della sanzione pecuniaria sia parte di un gruppo di società, il calcolo della relativa somma da pagare dovrà tener conto del fatturato dell’intero gruppo. Il caso origina dalla domanda effettuata da parte di un giudice lituano e di un giudice tedesco alla Corte di Giustizia dell’Unione Europea sull’interpretazione del regolamento generale in materia di protezione dei dati personali, sulla possibilità delle autorità nazionali di controllo di sanzionare le violazioni a tale regolamento e irrogare una sanzione amministrativa pecuniaria. La Corte di Giustizia si pronuncia affermando che «è possibile infliggere una sanzione amministrativa pecuniaria per violazione del RGPD a un titolare del trattamento dei dati solo qualora detta violazione sia stata commessa in modo illecito, ossia dolosamente o colposamente». La violazione a titolo di dolo o colpa del regolamento avviene quando il titolare non può ignorare l’illiceità del proprio comportamento a prescindere della contezza dell’infrazione. Precisa, inoltre, la Corte che «quando il titolare del trattamento è una persona giuridica, non è necessario che la violazione sia stata commessa da un suo organo amministrativo o che quest’organo ne abbia avuto conoscenza». Nel caso delle persone giuridiche, quindi, la società risponde sia che la violazione sia stata commessa dai suoi rappresentati, direttori o amministratori o anche nel caso in cui sia commessa da «chiunque agisca nel quadro della sua attività commerciale o per suo conto». Non è inoltre richiesto che venga identificata previamente la persona fisica responsabile della violazione. Anche qualora la violazione del regolamento generale sia commessa da un subappaltatore, se le violazioni sono imputabili al titolare del trattamento potrà esser comminata a costui una sanzione amministrativa pecuniaria. Nel caso di contitolarità di due o più enti «quest’ultima discende dal mero fatto che detti enti abbiano partecipato alla determinazione delle finalità e dei mezzi del trattamento. […] Basta una decisione comune, come pure alcune decisioni convergenti». Infine, sul calcolo della sanzione amministrativa pecuniaria, se il destinatario fa parte o è un’impresa, occorre far riferimento alla definizione concorrenziale di “impresa” per cui l’importo massimo della sanzione pecuniaria va calcolato sulla base totale del fatturato annuo globale relativo all’esercizio precedente.