Un giudice lituano e un giudice tedesco hanno chiesto alla Corte di giustizia di interpretare il regolamento generale sulla protezione dei dati (GDPR) riguardo alla possibilità, per le autorità nazionali di controllo, di sanzionare la violazione di tale regolamento mediante l’irrogazione di una sanzione amministrativa pecuniaria al titolare del trattamento dei dati.
I due casi
Nel caso lituano, il Centro nazionale di Sanità pubblica del Ministero della Sanità contesta una sanzione pecuniaria di importo pari a 12 000 euro inflittagli con riferimento alla creazione, realizzata grazie all’assistenza di un’impresa privata, di un’applicazione mobile ai fini della registrazione e del controllo dei dati delle persone esposte alla Covid-19.
Nel caso tedesco, la società immobiliare Deutsche Wohnen, che detiene indirettamente circa 163 000 unità abitative e 3 000 unità commerciali, contesta, tra l’altro, una sanzione pecuniaria di più di 14 milioni di euro, inflittale per aver salvaguardato i dati personali dei locatari per un tempo superiore al necessario.
Cosa ha deciso la Corte di Giustizia Ue
La Corte dichiara che è possibile infliggere una sanzione amministrativa pecuniaria per violazione del GDPR a un titolare del trattamento dei dati solo qualora detta violazione sia stata commessa in modo illecito, ossia dolosamente o colposamente. Ciò si verifica una volta che il titolare del trattamento non poteva ignorare l’illiceità del suo comportamento, a prescindere dal fatto che abbia avuto, o meno, cognizione dell’infrazione.
Quando il titolare del trattamento è una persona giuridica, non è necessario che la violazione sia stata commessa da un suo organo amministrativo o che quest’organo ne abbia avuto conoscenza. Al contrario, una persona giuridica è responsabile sia delle violazioni commesse dai suoi rappresentanti, direttori o amministratori, sia di quelle commesse da chiunque agisca nel quadro della sua attività commerciale o per suo conto.
Inoltre, la Corte di giustizia precisa le condizioni in presenza delle quali le autorità nazionali di controllo possono infliggere una sanzione pecuniaria amministrativa a uno o più titolari del trattamento per violazione del regolamento generale sulla protezione dei dati (GDPR). In particolare, essa giudica che l’imposizione di una siffatta sanzione presuppone un comportamento illecito, ossia che la violazione sia stata commessa in modo doloso o colposo. Inoltre, quando il destinatario della sanzione pecuniaria fa parte di un gruppo di società, il calcolo dell’ammenda deve basarsi sul fatturato del gruppo intero.
