contributo di Claudia Del Re, avvocato dello Studio Legale Del Re.
Stabiliti dalla Suprema Corte i principi imprescindibili per l’applicazione delle sanzioni ammnistrative di carattere pecuniario per quanto riguarda la violazione del GDPR (Regolamento generale sulla protezione dei dati – Reg. UE 679/2016) da applicare in maniera vincolante negli Stati membri dell’UE. La pronuncia della Cassazione (Ordinanza n. 27189/2023) ha accolto un ricorso proposto dal Garante Privacy contro una sentenza del Tribunale di Milano (n.3276/2022) che aveva ritenuto un’eccessività nella quantificazione della sanzione amministrativa di 2.600.000 Euro e ha annullato il provvedimento inflitto ad una società di food delivery a seguito di violazione del GDPR in riferimento al trattamento dei dati personali dei rider.
La sentenza della Cassazione ha precisato che è l’art.83 del GDPR a disciplinare le condizioni generali per comminare sanzioni ammnistrative pecuniarie. Si legge nell’articolo che il totale della sanzione non deve superare “l’importo specificato per la violazione più grave”. Per determinare l’ammontare delle sanzioni rilevano i paragrafi 4 e 5 dell’articolo. Due le tipologie di sanzioni previste: “fino a 10.000.00,00, o per imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore” e “fino a 20.000.000,00 di euro, o per l’imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente se superiore”, a seconda delle violazioni enumerate al par.4 oppure al par.5. Si tratta di sanzioni alternative.
La Corte ha ritenuto che la sanzione fissata dal Garante fosse stata irrogata nella misura consentita e che il Tribunale di Milano aveva interpretato in maniera non corretta i dettami del GDPR. Nessuna sanzione illegittima da parte del Garante, ma una sanzione applicata in maniera adeguata. In forza delle regole rinvenibili ai paragrafi 4 e 5 dell’art.83 GDPR, la Cassazione ha specificato che il calcolo della sanzione non ha travalicato il massimo edittale previsto poiché l’art.83 ai paragrafi 4 e 5 esplicita “se superiore”, ovvero “superiore” rispetto alla sanzione stessa. “Il calcolo della sanzione non ha travalicato il massimo edittale previsto, in quanto non è tale qual 4% del fatturato mondiale annuo dell’opponente a fronte di sanzione computabile (e in concreto computata) in misura inferiore a 20.000.000,00 euro”. Poiché la sanzione irrogata alla società era inferiore ai 20.000.000 Euro, non assumeva rilievo la circostanza di essere pari al 7,29% del fatturato annuo con conseguente non applicazione del criterio del 4% del fatturato.
La Cassazione ha anche stabilito che il Giudice chiamato a pronunciarsi sulla legittimità delle sanzioni pecuniarie adottate dal Garante della Privacy ha anche il potere di rideterminare l’ammontare della sanzione, fermo restando il limite del limite edittale. Considerato il peso delle sanzioni disciplinari e il contenzioso che può derivarne, la sentenza evidenzia l’importanza per le imprese di rispettare scrupolosamente le prescrizioni del GDPR.
L’avvocato Claudia Del Re è professore a contratto in Gestione della Brevettazione e della Proprietà Intellettuale presso Università degli Studi di Firenze e avvocato dello Studio Legale Del Re.