(AGENPARL) – mar 05 dicembre 2023 COMUNICATO STAMPA n. 184/23
Lussemburgo, 5 dicembre 2023
Sentenze della Corte nelle cause C-683/21 | Nacionalinis visuomen?s sveikatos centras e C-807/21 |
Deutsche Wohnen
Solo una violazione dolosa o colposa del regolamento generale sulla
protezione dei dati può condurre all’irrogazione di una sanzione
amministrativa pecuniaria
Quando il destinatario della sanzione pecuniaria fa parte di un gruppo di società, detta sanzione dev’essere
calcolata sulla base del fatturato del gruppo
La Corte di giustizia precisa le condizioni in presenza delle quali le autorità nazionali di controllo possono
infliggere una sanzione pecuniaria amministrativa a uno o più titolari del trattamento per violazione del
regolamento generale sulla protezione dei dati (RGPD). In particolare, essa giudica che l’imposizione di una
siffatta sanzione presuppone un comportamento illecito, ossia che la violazione sia stata commessa in modo
doloso o colposo. Inoltre, quando il destinatario della sanzione pecuniaria fa parte di un gruppo di società, il
calcolo dell’ammenda deve basarsi sul fatturato del gruppo intero.
Un giudice lituano e un giudice tedesco hanno chiesto alla Corte di giustizia di interpretare il regolamento generale
sulla protezione dei dati (RGPD) 1 riguardo alla possibilità, per le autorità nazionali di controllo, di sanzionare la
violazione di tale regolamento mediante l’irrogazione di una sanzione amministrativa pecuniaria al titolare del
trattamento dei dati.
Nel caso lituano, il Centro nazionale di Sanità pubblica del Ministero della Sanità contesta una sanzione pecuniaria di
importo pari a 12 000 euro inflittagli con riferimento alla creazione, realizzata grazie all’assistenza di un’impresa
privata, di un’applicazione mobile ai fini della registrazione e del controllo dei dati delle persone esposte alla Covid19.
Nel caso tedesco, la società immobiliare Deutsche Wohnen, che detiene indirettamente circa 163 000 unità abitative
e 3 000 unità commerciali, contesta, tra l’altro, una sanzione pecuniaria di più di 14 milioni di euro, inflittale per aver
salvaguardato i dati personali dei locatari per un tempo superiore al necessario.
La Corte dichiara che è possibile infliggere una sanzione amministrativa pecuniaria per violazione del RGPD
a un titolare del trattamento dei dati solo qualora detta violazione sia stata commessa in modo illecito,
ossia dolosamente o colposamente. Ciò si verifica una volta che il titolare del trattamento non poteva ignorare
l’illiceità del suo comportamento, a prescindere dal fatto che abbia avuto, o meno, cognizione dell’infrazione.
Quando il titolare del trattamento è una persona giuridica, non è necessario che la violazione sia stata
commessa da un suo organo amministrativo o che quest’organo ne abbia avuto conoscenza. Al contrario, una
persona giuridica è responsabile sia delle violazioni commesse dai suoi rappresentanti, direttori o amministratori,
sia di quelle commesse da chiunque agisca nel quadro della sua attività commerciale o per suo conto. Inoltre,
Direzione della Comunicazione
Unità Stampa e informazione
curia.europa.eu
l’irrogazione di una sanzione amministrativa pecuniaria a una persona giuridica nella sua qualità di titolare del
trattamento non può essere subordinata alla previa constatazione che detta violazione è stata commessa da una
persona fisica identificata.
Inoltre, a un titolare del trattamento può essere inflitta una sanzione pecuniaria anche per operazioni
effettuate da un subappaltatore, nei limiti in cui tali operazioni possano essere imputate al titolare del
trattamento.
Per quanto concerne la contitolarità di due o più enti, la Corte precisa che quest’ultima discende dal mero fatto
che detti enti abbiano partecipato alla determinazione delle finalità e dei mezzi del trattamento. La qualificazione di
«contitolari» non presuppone l’esistenza di un accordo formale tra gli enti in questione. Basta una decisione
comune, come pure alcune decisioni convergenti. Tuttavia, posto che si tratta effettivamente di contitolari, questi
ultimi devono stabilire, di comune accordo, i loro obblighi rispettivi.
Infine, per quanto concerne il calcolo della sanzione pecuniaria quando il destinatario è o fa parte di
un’impresa, l’autorità di controllo deve basarsi sulla nozione di «impresa» 2, propria del diritto della concorrenza.
Pertanto, l’importo massimo della sanzione pecuniaria dev’essere calcolato sulla base di una percentuale del
fatturato annuo mondiale globale dell’esercizio precedente dell’impresa interessata, considerata nel suo insieme.
IMPORTANTE: Il rinvio pregiudiziale consente ai giudici degli Stati membri, nell’ambito di una controversia della
quale sono investiti, di interpellare la Corte in merito all’interpretazione del diritto dell’Unione o alla validità di un
atto dell’Unione. La Corte non risolve la controversia nazionale. Spetta al giudice nazionale risolvere la causa
conformemente alla decisione della Corte. Tale decisione vincola egualmente gli altri giudici nazionali ai quali venga
sottoposto un problema simile
Documento non ufficiale ad uso degli organi d’informazione che non impegna la Corte di giustizia.
Il testo integrale e, se del caso, la sintesi delle sentenze (C-683/21 e C-807/21) sono pubblicati sul sito CURIA il giorno
della pronuncia.
Restate in contatto!
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al
trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei
dati).
Questa nozione comprende qualsiasi ente che eserciti un’attività economica, a prescindere dal suo status giuridico e dalle sue modalità di
finanziamento. Essa si riferisce pertanto a un’unità economica anche qualora, sotto il profilo giuridico, tale unità economica sia costituita da più
persone fisiche o giuridiche.
Direzione della Comunicazione