Le sanzioni amministrative pecuniarie, un potere dell’Autorità Garante o dell’Autorità Giudicante?

Massima

In materia di violazione dei dati personali, l'articolo 83 GDPR detta le condizioni generali per l'applicazione di sanzioni amministrative pecuniarie che, al fine di essere concretamente effettive, proporzionate e dissuasive, devono tener conto della specificità, effettività e proporzionalità del singolo caso concreto. Inoltre, nella medesima materia, al giudice va riconosciuto il potere di annullare in tutto o in parte il provvedimento o modificarlo anche limitatamente all'entità della sanzione dovuta.

Il caso

La Società (Omissis) S.r.l. presentava ricorso ai sensi degli artt. 152 del Codice privacy e 10 d.lgs. n. 150/2011 avverso il provvedimento n. 234 del 10-6-2021 con il quale il Garante per la protezione dei dati personali le aveva irrogato una sanzione amministrativa pari a 2.600.000,00 EUR per avere violato molteplici norme del Regolamento 2016/679-UE (GDPR) in occasione del trattamento dei dati personali dei cd. rider, cioè̀ lavoratori dedicati alla consegna, a seguito di ordini di cibo o altri beni eseguiti dai clienti, effettuato mediante un sistema automatizzato.

In primo grado, il Tribunale di Milano annullava la sanzione inflitta all'azienda dal Garante privacy per motivi di eccessiva quantificazione, sostenendo che fosse sproporzionata poiché di misura pari al 7,29% (una misura, dunque, notevolmente superiore al parametro del 4% previsto dall'art. 83, comma 5, GDPR in ragione della violazione più̀ grave) e, in ogni caso, maggiore rispetto alla percentuale media (0,0019%) che il Garante avrebbe applicato ad altri soggetti contravventori/sanzionati. Inoltre, il Tribunale annullava il provvedimento "senza possibilità per il giudice adito di modificare l'entità della pena pecuniaria", non essendo tale potere previsto dall'art. 10 d.lgs. 150/2011.

Avverso la sentenza, il Garante proponeva ricorso principale affidandolo a tre motivi contro cui la Società̀ replicava promuovendo un controricorso fondato su ulteriori tre motivi:

• Il primo argomento si basa sulla violazione e falsa applicazione degli articoli 56 e 60 GDPR che, con riferimento ai trattamenti transfrontalieri di dati personali, escludono la competenza dell'Autorità nazionale nell'ipotesi in cui è possibile coinvolgere un'autorità capofila. Nel caso di specie, infatti, la Società italiana è interamente controllata da un'altra entità pubblica con sede in Spagna sicché l'autorità competente è quella spagnola.
• Con il secondo argomento, si evidenzia la mancata valutazione di fatti cruciali relativi al funzionamento della piattaforma utilizzata per il trattamento dei dati personali dei rider.
• Nel terzo motivo, infine, si afferma l'omesso esame di fatti cruciali in relazione al procedimento parallelo avviato dall'Autorità spagnola.

A tale ricorso incidentale il Garante replicava a sua volta con controricorso. La ricorrente incidentale depositava, quindi, una memoria.

La questione

Le questioni in esame sono le seguenti: la sanzione inflitta dal Garante è effettivamente eccessiva rispetto al parametro edittale applicabile ai sensi degli artt. 83 GDPR e 166 del Codice privacy? Il giudice ha il potere di annullare, modificare o rideterminare l'entità delle sanzioni in materia di protezione dei dati personali?

Le soluzioni giuridiche

La sentenza in commento limita la discrezionalità valutativa delle Autorità Garanti imponendo loro, per un verso, il rispetto dei parametri stabiliti ai paragrafi 4 e 5 dell’art. 83 GDPR e, per altro verso, di tenere in considerazione la specificità, l’effettività e la proporzionalità del caso concreto affinché le sanzioni irrogate siano “in ogni singolo caso” effettive, proporzionate e dissuasive.

A conferma della necessità di valutare la "singolarità" del caso concreto, si riconosce al giudice il potere di annullare, modificare o rideterminare l'entità̀ delle sanzioni in materia di protezione dei dati personali in modo da "ritagliarle" sul caso concreto sottoposto alla sua attenzione.

La sentenza in commento, quindi, ha il pregio di aver posto l'accento sull’accuratezza dell’apparato sanzionatorio previsto dal Regolamento GDPR che consente di comminare delle sanzioni in linea con i criteri di specificità̀, effettività̀ e proporzionalità̀ e, quindi, con gli elementi costitutivi del caso.

Osservazioni

La sentenza in commento si inserisce all'interno di un iter giurisprudenziale volto a correggere un apparato sanzionatorio che, nel tentativo di limitare (come, in effetti, fa con i parametri di cui all’art. 83 GDPR) la discrezionalità̀ delle Autorità̀ Garanti nel comminare le sanzioni amministrative, pone l’accento sulla necessità di valutare le circostanze del caso concreto, come dimostra la previsione dei principi della specificità, effettività e proporzionalità di cui ai paragrafi 4 e 5 dell’articolo 83 che prevedono il rispetto di limiti tassativi (“fino a 10.000.000 EUR o fino a 20.000.000,0 EUR”) e degli elementi idonei a incidere sul quantum sanzionatorio (come, ad esempio, aggravanti e attenuanti) di cui al paragrafo 2 dell'articolo 83 GDPR.

Nel momento in cui la Corte di Cassazione riconosce al Tribunale, nelle controversie in materia di protezione dati personali, il potere di annullare, in tutto o in parte, il provvedimento adottato da un’Autorità̀ Garante, ovvero, a modificarlo anche limitatamente all’entità̀ della sanzione dovuta, è evidente che il giudice (nazionale) di primo grado assuma su di sé nuove responsabilità che enfatizzano il diritto/dovere dell’autorità giudicante di commisurare la sanzione all'effettiva gravità del fatto concreto. Tuttavia, nelle ipotesi indicate, il giudice nazionale è sottoposto all’autorità della sola legge, da intendersi quale comprensiva dei valori, dei principi e delle norme dell’ordinamento nazionale ed europeo e, quindi, delle eventuali limitazioni che il legislatore sovranazionale ritiene opportuno prevedere senza che, questi interventi, precludano la personalizzazione del trattamento sanzionatorio da parte dell’Autorità giudicante o dell’Autorità Garante.