VIOLAZIONE DEL GDPR: SANZIONI, PRINCIPI APPLICATIVI E POTERI ATTRIBUITI AL GIUDICE ORDINARIO RISPETTO AI PROVVEDIMENTI SANZIONATORI DEL GARANTE

Per un’azienda essere Privacy Compliant può significare diminuire drasticamente la possibilità di incorrere nelle sanzioni previste in caso di violazione della normativa sulla protezione dei dati personali.

Tuttavia, per evitare il “nemico” è innanzitutto necessario conoscerlo, quindi può essere utile esaminare, seppur sommariamente, le sanzioni che il Regolamento UE n. 679/2016 (c.d. GDPR) prevede.

Innanzitutto, l’Organo competente ad irrogarle è il Garante per la protezione dei dati personali.

Tali sanzioni, rilevanti e di natura amministrativa, sono previste dal GDPR all’art. 83, il quale specifica che le sanzioni inflitte debbano essere in ogni singolo caso effettive, proporzionate e dissuasive rispetto alla violazione accertata e che nella loro comminazione si tenga conto di alcuni importanti elementi che la stessa norma prevede, tra i quali, per citarne alcuni, la natura, la gravità e la durata della violazione; il carattere doloso o colposo della violazione, ed altri elementi.

A sua volta, le sanzioni previste in tale art. 83 del GDPR possono essere distinte in due gruppi a seconda della gravità della violazione. In particolare, per le violazioni di minor gravità che rientrano nel primo gruppo sono previste sanzioni amministrative pecuniarie di importi fino a 10.000.000,00 di euro, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, e riguardano le violazioni degli obblighi imposti: al Titolare del trattamento ed al Responsabile del trattamento a norma degli artt. 8, 11, da 25 a 39, 42 e 43 GDPR; all’Organismo di certificazione a norma degli artt. 42 e 43 GDPR; all’Organismo di controllo a norma dell’art. 41, paragrafo 4, GDPR.

Le sanzioni del secondo gruppo, previste invece per le violazioni di maggior gravità, ammontano fino a 20.000.000,00 euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore e si applicano in caso di violazione: dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli artt. 5, 6, 7 e 9 GDPR; dei diritti degli interessati a norma degli artt. da 12 a 22 GDPR; di trasferimenti di dati personali a un destinatario in un Paese terzo o un’organizzazione internazionale a norma degli artt. da 44 a 49 GDPR; di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX GDPR; dell’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’Autorità di controllo ai sensi dell’articolo 58, paragrafo 2, GDPR, o il negato accesso in violazione dell’articolo 58, paragrafo 1, GDPR.

In alternativa o in aggiunta, il Garante può comminare le sanzioni previse dall’art. 58, paragrafo 2, GDPR, che si distinguono da quelle sopra citate.

Inoltre, l’art. 84 del GDPR permette agli Stati membri di stabilire ulteriori norme in cui disciplinare altre tipologie di sanzioni, rivolte in particolare alle violazioni non soggette alle sanzioni amministrative pecuniarie di cui al suddetto art. 83, le quali devono anch’esse essere effettive, proporzionate e dissuasive.

A sua volta, il Codice Privacy si è adeguato al Regolamento UE 679/2016, richiamando al suo art. 166, per determinate violazioni, le sanzioni di cui all’art. 83 del Regolamento de quo.

Ebbene, introdotta la cornice normativa delle sanzioni previste in caso di violazione delle norme sulla protezione dei dati personali, può essere utile citare una pronuncia della Corte di Cassazione, Prima sezione civile (Ordinanza del 22.09.2023, n. 27189), con la quale la Corte ha enunciato importanti principi di diritto in ordine a tale tema.

La sopra richiamata Ordinanza deriva dal ricorso per Cassazione proposto dal Garante per la protezione dei dati personali contro una Sentenza del Tribunale di Milano, con la quale quest’ultimo aveva annullato un provvedimento sanzionatorio del Garante ritenendo eccessiva la sanzione inflitta ad una società.

La società ha quindi replicato con controricorso, nel quale ha proposto tre motivi di ricorso incidentale condizionato ed a tale ricorso incidentale il Garante ha replicato con controricorso.

Ebbene, nella suddetta Ordinanza, in primo luogo, la Corte ripercorre la natura e la funzione che le sanzioni de quibus sono chiamate a svolgere, ricordando che esse devono essere inflitte valutando il caso concreto e che devono in ogni singolo caso essere effettive, proporzionate e dissuasive; dunque, specifica come debba essere interpretato il riferimento al concetto di sanzione proporzionale di cui all’art. 83 GDPR.

Dopodiché, la vera e propria portata innovativa di tale Ordinanza consiste nell’interpretazione che la Suprema Corte ha dato ai poteri del Giudice ordinario nel momento in cui è chiamato a pronunciarsi su un’opposizione ad un provvedimento sanzionatorio inflitto dal Garante.

In particolare, la Corte specifica che con la sentenza con cui il Giudice accoglie l’eventuale opposizione proposta nei confronti di un provvedimento del Garante, l’Autorità adita può annullare in tutto o in parte il provvedimento sanzionatorio, ma può anche modificarlo limitatamente all’entità della sanzione dovuta.

In definitiva, con tale pronuncia, la Corte ha cassato la sentenza del Tribunale di Milano, accogliendo in parte il ricorso principale ed ha rinviato la causa al Tribunale di Milano affinché si pronunci nuovamente sulla medesima fattispecie tenendo però conto dei principi di diritto espressi nell’Ordinanza medesima.

Tale pronuncia è meritevole di attenzione in quanto con essa la Cassazione Civile ha dettato principi fondamentali e di carattere strettamente tecnico per l’applicazione delle sanzioni amministrative pecuniarie in materia di protezione dei dati personali ai sensi del Regolamento UE 679/2016, principi che possono a sua volta essere utili in sede di impugnazione dei provvedimenti sanzionatori del Garante.

Tuttavia, a prescindere da tale “aiuto” interpretativo offerto dal Giudice di legittimità, l’obiettivo di un Titolare del trattamento e/o di un Responsabile del trattamento rimane sempre quello di evitare di vedersi infliggere sanzioni da parte del Garante e quindi di evitare di incorrere in violazioni della normativa sulla protezione dei dati personali e tale obiettivo sarà più facilmente raggiungibile rendendosi “GDPR compliant”.

Avv. Lisa Iozzelli

Privacy Confidential Protection Security Solitude Concept

VIOLAZIONE DEL GDPR: SANZIONI, PRINCIPI APPLICATIVI E POTERI ATTRIBUITI AL GIUDICE ORDINARIO RISPETTO AI PROVVEDIMENTI SANZIONATORI DEL GARANTE

Una società può continuare a tenere attivi gli account e-mail aziendali degli ex dipendenti?

DALL’AVVIO DELLE TRATTATIVE AL CONTRATTO DEFINITIVO: 10 PILLOLE INDISPENSABILI SUGLI ISTITUTI GIURIDICI CHE L’IMPRENDITORE DEVE CONOSCERE E SAPER MANEGGIAE CON CURA (I PARTE)

GLI ACCORDI SULLA SCELTA DEL FORO COMPETENTE NEI CONTRATTI INTERNAZIONALI: VANTAGGI, OPPORTUNITA’ E VINCOLI FORMALI

Ereditare Criptovalute

VIOLAZIONE DEL GDPR: SANZIONI, PRINCIPI APPLICATIVI E POTERI ATTRIBUITI AL GIUDICE ORDINARIO RISPETTO AI PROVVEDIMENTI SANZIONATORI DEL GARANTE

Share This Story, Choose Your Platform!

Related Posts

Una società può continuare a tenere attivi gli account e-mail aziendali degli ex dipendenti?

DALL’AVVIO DELLE TRATTATIVE AL CONTRATTO DEFINITIVO: 10 PILLOLE INDISPENSABILI SUGLI ISTITUTI GIURIDICI CHE L’IMPRENDITORE DEVE CONOSCERE E SAPER MANEGGIAE CON CURA (I PARTE)

GLI ACCORDI SULLA SCELTA DEL FORO COMPETENTE NEI CONTRATTI INTERNAZIONALI: VANTAGGI, OPPORTUNITA’ E VINCOLI FORMALI

Ereditare Criptovalute