Sentenze della Corte nelle cause C-683/21 | Nacionalinis visuomen?s sveikatos centras e C-807/21 | Deutsche Wohnen

Quando il destinatario della sanzione pecuniaria fa parte di un gruppo di società, detta sanzione dev’essere calcolata sulla base del fatturato del gruppo

La Corte di giustizia precisa le condizioni in presenza delle quali le autorità nazionali di controllo possono infliggere una sanzione pecuniaria amministrativa a uno o più titolari del trattamento per violazione del regolamento generale sulla protezione dei dati (RGPD). In particolare, essa giudica che l’imposizione di una siffatta sanzione presuppone un comportamento illecito, ossia che la violazione sia stata commessa in modo doloso o colposo. Inoltre, quando il destinatario della sanzione pecuniaria fa parte di un gruppo di società, il calcolo dell’ammenda deve basarsi sul fatturato del gruppo intero.

Un giudice lituano e un giudice tedesco hanno chiesto alla Corte di giustizia di interpretare il regolamento generale sulla protezione dei dati (RGPD) 1 riguardo alla possibilità, per le autorità nazionali di controllo, di sanzionare la violazione di tale regolamento mediante l’irrogazione di una sanzione amministrativa pecuniaria al titolare del trattamento dei dati. Nel caso lituano, il Centro nazionale di Sanità pubblica del Ministero della Sanità contesta una sanzione pecuniaria di importo pari a 12 000 euro inflittagli con riferimento alla creazione, realizzata grazie all’assistenza di un’impresa privata, di un’applicazione mobile ai fini della registrazione e del controllo dei dati delle persone esposte alla Covid19. Nel caso tedesco, la società immobiliare Deutsche Wohnen, che detiene indirettamente circa 163 000 unità abitative e 3 000 unità commerciali, contesta, tra l’altro, una sanzione pecuniaria di più di 14 milioni di euro, inflittale per aver salvaguardato i dati personali dei locatari per un tempo superiore al necessario. La Corte dichiara che è possibile infliggere una sanzione amministrativa pecuniaria per violazione del RGPD a un titolare del trattamento dei dati solo qualora detta violazione sia stata commessa in modo illecito, ossia dolosamente o colposamente. Ciò si verifica una volta che il titolare del trattamento non poteva ignorare l’illiceità del suo comportamento, a prescindere dal fatto che abbia avuto, o meno, cognizione dell’infrazione. Quando il titolare del trattamento è una persona giuridica, non è necessario che la violazione sia stata commessa da un suo organo amministrativo o che quest’organo ne abbia avuto conoscenza. Al contrario, una persona giuridica è responsabile sia delle violazioni commesse dai suoi rappresentanti, direttori o amministratori, sia di quelle commesse da chiunque agisca nel quadro della sua attività commerciale o per suo conto. Inoltre, La Corte di giustizia precisa le condizioni in presenza delle quali le autorità nazionali di controllo possono infliggere una sanzione pecuniaria amministrativa a uno o più titolari del trattamento per violazione del regolamento generale sulla protezione dei dati (RGPD). In particolare, essa giudica che l’imposizione di una siffatta sanzione presuppone un comportamento illecito, ossia che la violazione sia stata commessa in modo doloso o colposo. Inoltre, quando il destinatario della sanzione pecuniaria fa parte di un gruppo di società, il calcolo dell’ammenda deve basarsi sul fatturato del gruppo intero. Direzione della Comunicazione Unità Stampa e informazione curia.europa.eu Restate in contatto! l’irrogazione di una sanzione amministrativa pecuniaria a una persona giuridica nella sua qualità di titolare del trattamento non può essere subordinata alla previa constatazione che detta violazione è stata commessa da una persona fisica identificata. Inoltre, a un titolare del trattamento può essere inflitta una sanzione pecuniaria anche per operazioni effettuate da un subappaltatore, nei limiti in cui tali operazioni possano essere imputate al titolare del trattamento. Per quanto concerne la contitolarità di due o più enti, la Corte precisa che quest’ultima discende dal mero fatto che detti enti abbiano partecipato alla determinazione delle finalità e dei mezzi del trattamento. La qualificazione di «contitolari» non presuppone l’esistenza di un accordo formale tra gli enti in questione. Basta una decisione comune, come pure alcune decisioni convergenti. Tuttavia, posto che si tratta effettivamente di contitolari, questi ultimi devono stabilire, di comune accordo, i loro obblighi rispettivi. Infine, per quanto concerne il calcolo della sanzione pecuniaria quando il destinatario è o fa parte di un’impresa, l’autorità di controllo deve basarsi sulla nozione di «impresa» 2 , propria del diritto della concorrenza. Pertanto, l’importo massimo della sanzione pecuniaria dev’essere calcolato sulla base di una percentuale del fatturato annuo mondiale globale dell’esercizio precedente dell’impresa interessata, considerata nel suo insieme.