Diritto civile
05 | 12 | 2023
La CGUE sulla responsabilità per il trattamento dei dati personali da parte delle persone giuridiche
Emma Coppola
Con sentenza 5 dicembre 2023, relativa alla causa C-807/21, la Corte di Giustizia dell’Unione Europea si è pronunciata sul tema della responsabilità nell’ambito del trattamento dei dati personali, disciplinata dal Regolamento generale per la protezione dei dati (R.G.P.D.).
L’art 4 punto 7 R.G.P.D. fornisce un’interpretazione ampia del concetto di “responsabile del trattamento”, identificandolo con la persona fisica o giuridica che, da sola o congiuntamente con altri, determina le finalità e i mezzi del trattamento dei dati personali (definizione emersa anche nella sentenza della Corte del 10 luglio 2018, Jehovan todistajat, C-25/17).
Per quanto riguarda, nello specifico, le persone giuridiche, queste sono responsabili delle violazioni commesse dai loro rappresentanti, dirigenti e da qualsiasi altra persona che agisca nell’ambito della loro attività e per loro conto.
Ne consegue che le multe amministrative previste in caso di violazioni ex art 83 del R.G.P.D. devono poter essere inflitte direttamente a persone giuridiche quando queste possono essere qualificate come responsabili del trattamento in questione.
Nello specifico, il potere di comminare multe amministrative rientra tra i poteri correttivi conferiti dall’art 58 par 2 RGPD alle autorità di controllo.
La Corte, nel caso di specie, ha richiamato la nozione di “impresa” degli artt. 101-102 TFUE per indicare la sua rilevanza non nella questione se e a quali condizioni una sanzione amministrativa per le violazioni di cui all’art 83 R.G.P.D. possa essere inflitta a un titolare del trattamento che sia persona giuridica, bensì unicamente ai fini del calcolo dell’ammontare delle sanzioni: nel caso in cui il destinatario di una delle sanzioni sia o faccia parte di un’impresa, l’importo massimo è calcolato sulla base di una percentuale del fatturato annuo totale dell’esercizio precedente dell’impresa.
La Corte si è ulteriormente pronunciata sui presupposti affinché possano essere comminate le sanzioni di cui trattasi: l’art. 83 par 1 R.G.P.D. prevede che le sanzioni devono essere allo stesso tempo effettive, proporzionate e dissuasive; il par. 2 elenca gli elementi in base ai quali l’autorità di controllo applica la sanzione amministrativa, e alla lettera b) prevede “il carattere doloso o colposo della violazione”.
Nessuno degli elementi elencati indica la possibilità che il titolare del trattamento sia considerato responsabile in assenza di un suo comportamento colpevole.
Da quest’ultimo paragrafo citato si evince che solo le violazioni delle disposizioni di tale regolamento commesse in modo illecito (con dolo o colpa) dal titolare del trattamento possono giustificare l’imposizione di una sanzione amministrativa pecuniaria nei suoi confronti. Il legislatore dell’UE non ha dunque ritenuto necessario prevedere sanzioni in assenza di colpa.
Tuttavia, un titolare del trattamento può esser sanzionato anche qualora non potesse ignorare il carattere illecito del proprio comportamento, a prescindere dalla sua consapevolezza di violare le disposizioni del R.G.P.D. (v. per analogia sentenza 25 marzo 2021, Lundbeck/Commissione, C-591/16 P). Quando il titolare del trattamento è una persona giuridica, va altresì precisato che l’applicazione dell’art 83 R.G.P.D. non presuppone l’azione o la consapevolezza dell’organo di gestione di tale persona giuridica (v. per analogia sentenza 7 giugno 1983, Musique Diffusion française/Commissione).
Riferimenti Normativi: