Violazione del GDPR e sanzioni amministrative pecuniarie: l’imposizione al titolare del trattamento presuppone un comportamento illecito, doloso o colposo

Un giudice lituano e un giudice tedesco hanno chiesto alla Corte di giustizia di interpretare il regolamento generale sulla protezione dei dati (GDPR) [1] riguardo alla possibilità, per le autorità nazionali di controllo, di sanzionare la violazione di tale regolamento mediante l'irrogazione di una sanzione amministrativa pecuniaria al titolare del trattamento dei dati.

Nel caso lituano, il Centro nazionale di Sanità pubblica del Ministero della Sanità contesta una sanzione pecuniaria di importo pari a 12.000 euro inflittagli con riferimento alla creazione, realizzata grazie all'assistenza di un'impresa privata, di un'applicazione mobile ai fini della registrazione e del controllo dei dati delle persone esposte alla Covid-19.

Nel caso tedesco, una società immobiliare che detiene indirettamente circa 163.000 unità abitative e 3.000 unità commerciali contesta, tra l'altro, una sanzione pecuniaria di più di 14 milioni di euro, inflittale per aver salvaguardato i dati personali dei locatari per un tempo superiore al necessario.

La Corte dichiara che è possibile infliggere una sanzione amministrativa pecuniaria per violazione del GDPR a un titolare del trattamento dei dati solo qualora detta violazione sia stata commessa in modo illecito, ossia dolosamente o colposamente. Ciò si verifica una volta che il titolare del trattamento non poteva ignorare l'illiceità del suo comportamento, a prescindere dal fatto che abbia avuto, o meno, cognizione dell'infrazione.

Quando il titolare del trattamento è una persona giuridica, non è necessario che la violazione sia stata commessa da un suo organo amministrativo o che quest'organo ne abbia avuto conoscenza. Al contrario, una persona giuridica è responsabile sia delle violazioni commesse dai suoi rappresentanti, direttori o amministratori, sia di quelle commesse da chiunque agisca nel quadro della sua attività commerciale o per suo conto. Inoltre, l'irrogazione di una sanzione amministrativa pecuniaria a una persona giuridica nella sua qualità di titolare del trattamento non può essere subordinata alla previa constatazione che detta violazione è stata commessa da una persona fisica identificata.

Inoltre, a un titolare del trattamento può essere inflitta una sanzione pecuniaria anche per operazioni effettuate da un subappaltatore, nei limiti in cui tali operazioni possano essere imputate al titolare del trattamento.

Per quanto concerne la contitolarità di due o più enti, la Corte precisa che quest'ultima discende dal mero fatto che detti enti abbiano partecipato alla determinazione delle finalità e dei mezzi del trattamento. La qualificazione di «contitolarità» non presuppone l'esistenza di un accordo formale tra gli enti in questione. Basta una decisione comune, come pure alcune decisioni convergenti. Tuttavia, posto che si tratta effettivamente di contitolari, questi ultimi devono stabilire, di comune accordo, i loro obblighi rispettivi.

Infine, per quanto concerne il calcolo della sanzione pecuniaria quando il destinatario è o fa parte di un'impresa, l'autorità di controllo deve basarsi sulla nozione di «impresa» [2], propria del diritto della concorrenza. Pertanto, l'importo massimo della sanzione pecuniaria dev'essere calcolato sulla base di una percentuale del fatturato annuo mondiale globale dell'esercizio precedente dell'impresa interessata, considerata nel suo insieme.

[1] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

[2] Questa nozione comprende qualsiasi ente che eserciti un'attività economica, a prescindere dal suo status giuridico e dalle sue modalità di finanziamento. Essa si riferisce pertanto a un'unità economica anche qualora, sotto il profilo giuridico, tale unità economica sia costituita da più persone fisiche o giuridiche.