Con due sentenze di ieri, 5 dicembre 2023, la Corte di giustizia dell’Unione europea ha fornito importanti chiarimenti in materia di sanzioni amministrative per violazione del Regolamento generale sulla protezione dei dati (GDPR) nei confronti di persone giuridiche titolari del trattamento.
In particolare, la Corte ha analizzato due ipotesi in cui le sanzioni GDPR possono essere comminate alla persona giuridica titolare del trattamento:
- violazione (c.d. “interna“) commessa da un suo organo interno: in questo caso, la Corte ha precisato che la sanzionabilità della persona giuridica non è esclusa dal fatto che la violazione non sia imputabile a una persona fisica identificata. Al contrario, la sanzione amministrativa può essere inflitta laddove venga accertato che la persona giuridica, titolare del trattamento, abbia commesso, con dolo o colpa, la violazione;
- violazione (c.d. “esterna“) attribuibile ad una terza persona giuridica: in questo caso, la Corte ha riconosciuto che la persona giuridica che abbia incaricato un’impresa terza del trattamento di dati personali è comunque titolare del trattamento, anche qualora non abbia effettuato essa stessa operazioni di trattamento di tali dati, o non abbia dato esplicitamente consenso al loro trattamento.
In particolare, la Corte ha stabilito che la persona giuridica è titolare del trattamento quando:
- partecipa alla determinazione delle finalità e dei mezzi del trattamento stesso;
- il trattamento è correlato alla realizzazione di un’applicazione, destinata poi al pubblico, che comporti trattamento di dati personali.
Inoltre, la Corte ha precisato che la contitolarità del trattamento in capo ai due enti non presuppone alcun accordo in ordine alle finalità e ai mezzi del trattamento dei dati personali, né alle condizioni relative alla contitolarità, chiarendo poi che la persona giuridica titolare del trattamento, in via generale, deve ritenersi responsabile in relazione a operazioni di trattamento di dati personali effettuate per suo conto da un responsabile del trattamento. Tuttavia, non risponde nell’ipotesi in cui tale responsabile abbia:
- effettuato trattamenti per finalità che gli sono proprie;
- trattato tali dati:
- in modo incompatibile con il quadro o le modalità del trattamento quali erano stati determinati dal titolare del trattamento;
- in modo tale che non si può ragionevolmente ritenere che tale titolare abbia a ciò acconsentito.
I chiarimenti forniti dalla Corte di giustizia avranno inevitabilmente un’importante portata applicativa, in quanto stabiliscono i criteri in base ai quali le autorità di controllo possono comminare sanzioni amministrative a persone giuridiche titolari del trattamento in caso di violazione del GDPR.
Per approfondire:
- CGUE, C-807/21, Deutsche Wohnen; - CGUE. C-683/21, Nacionalinis visuomenės sveikatos centras.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- La Commissione europea pubblica la seconda relazione sull’applicazione del GDPR - Luglio 26, 2024
- Il punto sul Piano Triennale per l’informatica nella P.A. - Luglio 24, 2024
- AGID pubblica un decalogo per l’uso dell’ intelligenza artificiale nella P.A. italiana - Luglio 23, 2024
- Pubblicata la strategia Italiana per l’uso dell’intelligenza artificiale 2024-2026 - Luglio 23, 2024
- Il messaggio di posta elettronica sottoscritto con firma “semplice” fa piena prova del patto aggiunto al contratto - Luglio 17, 2024
