CGUE: importanti chiarimenti sui ruoli privacy e sull’applicazione delle sanzioni

Articolo header

La Corte di Giustizia dell’Unione Europea (CGUE), interpellata da un giudice lituano e un giudice tedesco in merito all’interpretazione del Regolamento europeo in materia di protezione dei dati personali, ha fornito alcuni importanti chiarimenti sulla qualificazione dei principali ruoli privacy e sull’applicazione delle sanzioni pecuniarie previste dall’art. 83 del GDPR. Quali considerazioni trarre? Riportiamo, in sintesi, alcuni dei principali elementi che emergono leggendo le sentenze delle Corte.




Contesto e oggetto delle sentenze

Un giudice lituano e un giudice tedesco si sono rivolti alla Corte di giustizia dell’UE al fine dell’interpretazione del GDPR. Con le recenti sentenze nelle cause C‑683/21 e C‑807/21, entrambe datate 5 dicembre 2023, la CGUE ha quindi fornito alcuni importanti chiarimenti, in particolare, rispetto ai seguenti temi: 

  • La qualificazione di “titolare del trattamento dei dati”;
  • La qualificazione a “contitolare del trattamento dei dati”;
  • La responsabilità del titolare nel caso in cui trattamenti vengano affidati a terze parti;
  • L’accertamento di dolo o colpa della persona giuridica;
  • L’imputabilità delle sanzioni alla persona fisica facente le veci di titolare del trattamento dei dati;
  • il calcolo della sanzione pecuniaria quando il destinatario è o fa parte di un’impresa;
  • la definizione di “trattamento” e l’uso di dati anonimizzati o fittizi.

Introduciamo i due casi ed analizziamo, punto per punto, quanto disposto dalla Corte.


Il caso lituano: le questioni pregiudiziali sottoposte alla CGUE

Durante il periodo iniziale della pandemia da Covid-19, il Ministro della Sanità della Repubblica di Lituania ha incaricato il CNSP (Centro nazionale di Sanità pubblica del Ministero della Sanità) di attivarsi al fine di acquisire un sistema informatico per la registrazione ed il monitoraggio epidemiologico dei dati delle persone esposte al virus. Una rappresentante del CNSP ha affidato l’incarico alla società informatica “IT sprendimai sėkmei” (di seguito, la società “ITSS”) la quale, nel giro di pochi mesi ha sviluppato e pubblicato sui principali App Store l’applicazione mobile in questione.

Al termine di un’indagine avviata il 18 maggio 2020, l’Autorità di controllo lituana per la protezione dei dati (Ispettorato nazionale per la protezione dei dati - INPD), mediante la decisione del 24 febbraio 2021, ha inflitto al CNSP una sanzione amministrativa pecuniaria pari a 12.000 euro, in applicazione dell’articolo 83 del GDPR, in considerazione della violazione degli articoli 5, 13, 24, 32 e 35 del Regolamento. Mediante lo stesso provvedimento, l’INPD ha sanzionato anche la società ITSS, operante in qualità di contitolare del trattamento, per un importo di 3.000 euro. 

Il CNSP ha impugnato tale decisione dinanzi al Vilniaus apygardos administracinis teismas (Tribunale amministrativo regionale di Vilnius, Lituania), asserendo, fra le altre cose, che è la società ITSS a dover essere considerata il solo titolare del trattamento, ai sensi dell’articolo 4, punto 7, del GDPR. 

I temi oggetto della controversia riguardavano l’interpretazione e applicazione del GDPR e, più nello specifico, l’articolo 4, punto 7 (nozione di “titolare del trattamento”); l’articolo 4, punto 2 (nozione di “trattamento”); l’articolo 26 (sulla contitolarità); nonché l’articolo 83 (sull’applicazione delle sanzioni in casi di “responsabilità oggettiva del titolare del trattamento”). Il Tribunale regionale decideva, pertanto, di sospendere il procedimento e di sottoporre il caso alla CGUE.


Il caso tedesco: le questioni pregiudiziali sottoposte alla CGUE

Il caso tedesco prende le mosse nell’ambito di un’ispezione, condotta dall’Autorità di controllo di Berlino presso le società del gruppo DW, organizzazione quotata operante nel settore immobiliare. L’Autorità rilevava che le società del gruppo DW “conservavano documenti contenenti dati personali dei locatari in un sistema di archiviazione elettronica, che non consentiva di verificare se la conservazione fosse necessaria e di garantire che i dati non più necessari fossero cancellati”. Pertanto, richiedeva alla DW di sopprimere tali documenti dal suo sistema di archiviazione elettronica. In risposta a tale richiesta, la DW dichiarava che la soppressione non era possibile per ragioni tecniche e giuridiche. Per le ragioni suesposte, DW veniva sanzionata per un importo pari a oltre 14 milioni di euro, per violazione dolosa dell’articolo 5, paragrafo 1, lettere a), c) ed e), nonché dell’articolo 25, paragrafo 1, del GDPR. 

La DW ha quindi proposto ricorso dinanzi al Landgericht Berlin (Tribunale del Land di Berlino, Germania), il quale rilevava un importante vizio nella decisione: secondo l’articolo 30 dell’OWiG (Legge sulle Irregolarità all'Ordine Pubblico), un illecito amministrativo potrebbe essere constatato solo nei confronti di una persona fisica e non nei confronti di una persona giuridica. 

La questione passava al Tribunale superiore del Land di Berlino, il quale, a sua volta, decideva di interpellare la CGUE in merito al regime di responsabilità delle persone giuridiche e alla nozione di “impresa”.


CGUE: sulla qualificazione giuridica del titolare

Il merito alla qualifica di titolare del trattamento, la CGUE, attraverso la sentenza nella causa C‑683/21 ha stabilito che può essere considerato titolare del trattamento un ente che “ha incaricato un’impresa di sviluppare un’applicazione informatica mobile e che, in tale contesto, ha partecipato alla determinazione delle finalità e dei mezzi del trattamento dei dati personali effettuato mediante tale applicazione, anche se tale ente non ha proceduto, esso stesso, a operazioni di trattamento di tali dati, non ha dato esplicitamente il proprio consenso alla realizzazione delle operazioni concrete di un siffatto trattamento o alla messa a disposizione del pubblico di detta applicazione mobile e non ha acquisito quella stessa applicazione mobile”. 

La Corte ribadisce, pertanto, che ciò che conta nell’applicazione dell’articolo 4, punto 7, è la determinazione delle finalità e dei mezzi, a prescindere dalla presenza di una designazione formale nonché di “orientamenti scritti o istruzioni da parte del titolare del trattamento”.


CGUE: sulla qualificazione giuridica della contitolarità

Anche la nozione di contitolarità va interpretata sul piano concreto, sempre con riferimento alla determinazione, in questo caso congiunta, delle finalità e dei mezzi del trattamento. La qualificazione a contitolari, quindi, “deriva dal solo fatto che molteplici enti hanno partecipato alla determinazione delle finalità e dei mezzi del trattamento”. L’esistenza di un accordo di contitolarità ex articolo 26 GDPR “costituisce non una condizione previa affinché due o più entità siano qualificate come contitolari del trattamento, bensì un obbligo che tale articolo 26, paragrafo 1, impone ai contitolari del trattamento, una volta qualificati come tali, al fine di garantire il rispetto dei requisiti del RGPD gravanti su di essi”.


CGUE: sui trattamenti affidati a terze parti

Qualora il trattamento sia stato affidato a un terzo responsabile, la Corte chiarisce che, in relazione alle operazioni effettuate da quest’ultimo per conto del titolare, risponde lo stesso titolare. Ciò, “salvo che, nell’ambito di tali operazioni, detto responsabile del trattamento abbia effettuato trattamenti per finalità che gli sono proprie o abbia trattato tali dati in modo incompatibile con il quadro o le modalità del trattamento quali erano stati determinati dal titolare del trattamento o in modo tale che non si può ragionevolmente ritenere che tale titolare abbia a ciò acconsentito”.

 

CGUE: sul dolo o colpa della persona giuridica 

In merito all’applicazione dell’articolo 83 del GDPR, una delle questioni controverse trattate dalla Corte riguardava la presenza di dolo o colpa della condotta oggetto di violazione e conseguente sanzione. 

Secondo il giudice lituano, il legislatore dell’Unione ha volutamente inteso lasciare agli Stati un margine di discrezionalità, consentendo agli stessi di prevedere l’irrogazione di sanzioni amministrative pecuniarie senza che sia accertato che la violazione sia stata commessa con dolo o colpa. 

La Corte ha quindi chiarito che “una sanzione amministrativa pecuniaria può essere irrogata ai sensi di tale disposizione [il sopracitato articolo 83, n.d.r."> solo qualora sia accertato che il titolare del trattamento ha commesso, con dolo o colpa, una violazione di cui ai paragrafi da 4 a 6 di detto articolo”. Ciò si verifica una volta che il titolare non poteva ignorare l’illiceità del suo comportamento, a prescindere dal fatto che abbia avuto, o meno, cognizione dell’infrazione.


CGUE: sul regime di responsabilità delle persone giuridiche

Sempre in relazione a quanto disposto dall’articolo 83 del GDPR, la Corte è stata chiamata a pronunciarsi in merito all’applicazione delle sanzioni ivi previste nei confronti di una persona giuridica e se non fosse necessario, dapprima, imputare la violazione a una persona fisica identificata (come previsto dal diritto interno nazionale, nella causa C‑807/21).

In questo caso la Corte, bypassando l’interpretazione del diritto interno, ha ribadito che “ogni persona fisica o giuridica che, per scopi che le sono propri, influisca sul trattamento di dati personali e partecipi pertanto alla determinazione delle finalità e degli strumenti di tale trattamento può essere considerata titolare” e stabilito che “ogni persona che soddisfi la suindicata condizione –indipendentemente dal fatto che si tratti di una persona fisica, di una persona giuridica, di un’autorità pubblica, di un servizio o di un altro organismo – è responsabile, in particolare, per qualsiasi violazione di cui al citato articolo 83, paragrafi da 4 a 6, commessa dalla stessa o per suo conto”.

Nei casi in cui il titolare sia una persona giuridica, quindi, non è necessario che la violazione sia stata commessa da un suo organo amministrativo o che quest’organo ne abbia avuto conoscenza. Al contrario, una persona giuridica è responsabile sia delle violazioni commesse dai suoi rappresentanti, direttori o amministratori, sia di quelle commesse da chiunque agisca nel quadro della sua attività commerciale o per suo conto. Pertanto, l’irrogazione di una sanzione a una persona giuridica nella sua qualità di titolare “non può essere subordinata alla previa constatazione che detta violazione è stata commessa da una persona fisica identificata”.


CGUE: sulla nozione di “impresa”

Infine, per quanto attiene al calcolo della sanzione pecuniaria, nei casi in cui il destinatario della sanzione sia o faccia parte di un’impresa, secondo la CGUE l’Autorità di controllo dovrebbe basarsi sulla nozione di “impresa”, derivante dal diritto della concorrenza. 

Pertanto, l’importo massimo della sanzione pecuniaria dovrebbe essere calcolato in funzione della percentuale del fatturato annuo mondiale globale dell’esercizio precedente dell’impresa interessata, considerata nel suo insieme.


Altre questioni pregiudiziali, la nozione di “Trattamento”

Per completezza citiamo anche quanto disposto dalla Corte in merito alla nozione di “Trattamento”. All’interno di tale definizione, secondo la CGUE, vi rientra anche “l’uso di dati personali a fini di test informatici di un’applicazione mobile, salvo che tali dati siano stati resi anonimi in modo da impedire o da non consentire più l’identificazione dell’interessato o che si tratti di dati fittizi che non si riferiscono a una persona fisica esistente”.


Per ulteriori approfondimenti, la sentenza nella causa C‑683/21 è disponibile qui e la sentenza nella causa C‑807/21 è disponibile qui. Se ti interessa discuterne con altri professionisti e DPO, ti ricordiamo che scopo dell’Associazione è proprio quello di favorire momenti di confronto e di scambio di informazioni, con l’obiettivo del miglioramento continuo professionale. Clicca qui per associarti.

Altre news