Misure di sicurezza adeguate: esclusa la responsabilità della banca per le operazioni online

Massima

In tema di sanzioni amministrative pecuniarie per violazione delle disposizioni in materia di protezione dei dati personali l’art. 83 del Regolamento (UE) n. 679/2016 stabilisce una regola preliminare imputata alla rilevanza del caso singolo secondo cui le sanzioni da comminare in concreto devono essere effettive, proporzionate e dissuasive. Le sanzioni pecuniarie applicate alle imprese qualora siano superiori a quelle stabilite nel massimo dalla norma non possono eccedere la percentuale di fatturato mondiale complessivo di un’impresa prevista dal Regolamento per dette sanzioni

Il caso

La vicenda attiene all’annullamento della sanzione pecuniaria inflitta alla società Glovo da parte dell’Autorità Garante per la protezione dei dati personali relativamente al trattamento dei dati personali dei rider svolti attraverso la piattaforma, annullamento disposto dal Tribunale di Milano con sentenza n. 3276/2022 del 12/04/2022.

Motivo dell’annullamento è stata la presunta errata applicazione dell’Autorità di controllo dei criteri per la determinazione dell’importo della sanzione pecuniaria, come previsti dall’art. 83 del Regolamento, con conseguente declaratoria di annullamento del provvedimento per eccessività della sanzione inflitta. 

Avverso la sentenza del Tribunale di Milano ha proposto ricorso per cassazione.

La questione

Il ricorso è stato fondato su tre motivi principali, che i giudici della Suprema Corte hanno dovuto affrontare, relativi alla corretta applicazione dei criteri previsti dall’art. 83 per il calcolo della sanzione pecuniaria e l’errata applicazione degli art. 6 e 10 d.lgs.. n. 150/2011 e all’art. 166 d.lgs. n. 196/2003 relativamente al potere di quantificazione della sanzione da parte del giudice che decide sul provvedimento amministrativo impugnato.

La società, con ricorso incidentale, proponeva altresì apposita questione circa la legittimazione dell’Autorità di controllo italiana a comminare la sanzione, dato che il soggetto sanzionato era in realtà società controllata da altra società con sede in altro Stato membro ed il trattamento posto in essere aveva carattere transfrontaliero.

Le soluzioni giuridiche

Con l'ordinanza in commento la Suprema Corte ha avuto modo di chiarire alcune tra le questioni più rilevanti in tema di applicazione della normativa relativa al trattamento dei dati personali.

Gli ermellini hanno affrontato, chiarendolo definitivamente, il tema relativo all'interpretazione dell'art. 83, paragrafi 4 e 5 del Regolamento, in cui si prevedono gli importi delle sanzioni pecuniarie. Com'è noto tali articoli stabiliscono un importo in misura fissa (fino a 10.000.000 o 20.000.000 di Euro) ed un importo, applicabile alle sole imprese, in misura percentuale (2% o 4%) rispetto al fatturato mondiale annuo dell'esercizio precedente. In entrambe i casi le disposizioni specificano che il criterio percentuale è applicabile “se superiore”.

I giudici innanzitutto chiariscono che trattasi di sanzioni alternative, una principale da calcolarsi tra un minimo e un massimo, l'altra subordinata da calcolare in misura percentuale. Ciò che viene definitivamente chiarito dai giudici della Suprema Corte è che il riferimento alla percentuale del fatturato mondiale annuo è un riferimento che non comporta una mitigazione del limite edittale, ma è esso stesso un ulteriore limite edittale della sanzione alternativa a quella principale. In sintesi, il limite del 4% o 2% opera solamente nel caso in cui la sanzione sia superiore a quella prevista già nel massimo, dovendosi intendere la locuzione “se superiore” come riferita alla sanzione.

In secondo luogo, l'ordinanza in esame ribadisce un principio già contenuto nell'art. 83, par. 2 del Regolamento relativamente alla necessità che l'ammontare delle sanzioni sia fissato in ogni singolo caso, in modo da essere effettive, proporzionate e dissuasive. In tal senso, riconoscendo che il Regolamento impone, attraverso i criteri dell'art. 83, dei criteri specifici idonei a porre un argine alla discrezionalità delle Autorità di controllo ai fini della determinazione delle sanzioni da applicare in concreto, l'eventuale difformità di una sanzione rispetto alla percentuale media applicata negli altri casi può essere unicamente un indice di ipotetica sproporzione, che va rapportato al singolo caso e adeguatamente motivato dal giudice di merito.

Con riferimento ai poteri del giudice che venga a conoscere di un'impugnazione di un provvedimento sanzionatorio emanato dall'Autorità di controllo, la Cassazione precisa che è in potere di tale giudice annullare in tutto o in parte l'ordinanza ingiunzione o modificare la stessa, anche relativamente alla sola entità della sanzione dovuta. Tale potere deriva da una lettura organica della disposizione di cui all'art. 10 d.lgs. n. 150/2011 con l'art. 166 d.lgs. n. 196/2003 che a sua volta rinvia agli articoli da 1 a 9, da 18 a 22 e da 24 a 28 l. n. 689/1981, con applicabilità dell'art. 6 d.lgs. n. 150/2011 stesso.

Il comma 12 di tale art. 6 stabilisce, infatti, il suddetto potere del giudice di annullamento parziale o totale e di modifica dell'ordinanza ingiunzione, con la conseguenza che anche nei giudizi aventi ad oggetto l'opposizione alle ordinanze ingiunzione emanate dall'Autorità Garante per la protezione dei dati personali troverà applicazione tale norma.

Infine, questione di grande interesse è quella relativa alla competenza dell'Autorità di controllo in caso di trattamenti transfrontalieri che coinvolgano più Stati membri dell'Unione Europea nel caso in cui il titolare abbia individuato un'Autorità capofila.

I giudici della Suprema Corte chiariscono innanzitutto che il trattamento deve essere considerato transfrontaliero qualora esso sia svolto da un medesimo titolare nell'ambito di più stabilimenti collocati in diversi Stati membri. Tale questione, però, essendo una questione di fatto può essere affrontata unicamente dal giudice di merito, non potendo la giurisprudenza di legittimità conoscere di tali tipologie di questioni. Gli ermellini, però, precisano che anche nel caso in cui sia individuata un'Autorità capofila ciò non esclude la residua competenza dell'Autorità nazionale relativamente ai trattamenti che vengono svolti all'interno del territorio di competenza. Ciò a maggior ragione qualora i trattamenti siano operati in condizione di sostanziale autonomia, come nel caso esaminato dai giudici, in cui le operazioni di trattamento erano svolte dalla società italiana in qualità di titolare e sulla base dei contratti stipulati con i rider. La conclusione dei giudici della Cassazione nell'ordinanza in esame è che possono e devono essere mantenuti distinti quei trattamenti che sono svolti da una società italiana operante sul territorio nazionale, con propria autonomia di struttura e negoziazione, rispetto a quelli posti in essere dalla capogruppo, con conseguente assoggettamento dell'entità italiana alla vigilanza dell'Autorità di controllo nazionale.  

Osservazioni

Con l’ordinanza in esame i giudici della Suprema Corte hanno chiarito questioni rilevanti in merito alle modalità di applicazione delle sanzioni pecuniarie e di poteri dei giudici in occasione della decisione su un’impugnazione di un’ordinanza ingiunzione del Garante.

Relativamente alle modalità di applicazione delle sanzioni pecuniarie l’affermazione del principio per cui le stesse devono essere commisurate al singolo caso in verità non appare così innovativa, dato che è proprio la lettera dell’art. 83 del Regolamento (UE) n. 679/2016 ad indicare tale criterio. Ciò significa che l’Autorità di controllo deve valutare puntualmente la sanzione pecuniaria da applicare, adottando i criteri di gradazione di cui all’art. 83, ma, soprattutto, che non potrebbero essere disposte delle sanzioni per tiptologie di violazioni (come, ad esempio, statuire che per una determinata violazione sarà sempre applicata una sanzione pecuniaria di uno specifico ammontare).

Orbene, se ciò è vero, a parere di chi scrive i giudici di legittimità avrebbero avuto occasione anche di maggiormente specificare come debbano essere applicate le sanzioni pecuniarie in caso di fattispecie analoghe. Se, infatti, il discostarsi da una percentuale media di importo applicato da parte dell’Autorità non costituisce di per sé una violazione delle previsioni regolamentari, ciò non toglie che in presenza di fattispecie analoghe l’applicazione di sanzioni pecuniarie diverse nell’ammontare dovrebbe essere un indice di anomalia che andrebbe giustificato secondo i criteri di cui all’art. 83 del Regolamento, ciò proprio per arginare la discrezionalità dell’Autorità di controllo nell’applicazione delle sanzioni. In sintesi, il criterio del “giudizio del singolo caso” non dovrebbe diventare un viatico per poter consentire scostamenti anche rilevanti nell’ammontare delle sanzioni pecuniarie per casi simili, salvo che l’applicazione analitica e motivata dei criteri di cui all’art. 83 porti a giustificare tali scostamenti.

D’altra parte, l’interpretazione contenuta nell’ordinanza in esame circa le modalità applicative della sanzione prevista in misura percentuale al fatturato mondiale delle imprese era già rinvenibile nelle “Linee Guida n. 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” adottate dall’European Data Protection Board il 24 maggio 2023 ed a cui evidentemente i giudici di legittimità si sono ispirati (pur non citandole nel provvedimento).

Il paragrafo 6.1.2 delle Linee Guida 4/2022 riporta il medesimo criterio interpretativo adottato dagli ermellini, fornendo espressamente degli esempi (vedi Esempio 8a) in cui si chiarisce che la sanzione con importo massimo dinamico (come espressamente definita nelle Linee Guida) trova applicazione quando l’importo della sanzione sarebbe superiore a quello fisso previsto dall’art. 83. In tal caso la percentuale sul fatturato costituisce un limite massimo della sanzione così applicabile.