Con due sentenze di ieri, 5 dicembre 2023, la Corte di giustizia dell’Unione europea ha fornito importanti chiarimenti in materia di sanzioni amministrative per violazione del Regolamento generale sulla protezione dei dati (GDPR) nei confronti di persone giuridiche titolari del trattamento.
In particolare, la Corte ha analizzato due ipotesi in cui le sanzioni GDPR possono essere comminate alla persona giuridica titolare del trattamento:
- violazione (c.d. “interna“) commessa da un suo organo interno: in questo caso, la Corte ha precisato che la sanzionabilità della persona giuridica non è esclusa dal fatto che la violazione non sia imputabile a una persona fisica identificata. Al contrario, la sanzione amministrativa può essere inflitta laddove venga accertato che la persona giuridica, titolare del trattamento, abbia commesso, con dolo o colpa, la violazione;
- violazione (c.d. “esterna“) attribuibile ad una terza persona giuridica: in questo caso, la Corte ha riconosciuto che la persona giuridica che abbia incaricato un’impresa terza del trattamento di dati personali è comunque titolare del trattamento, anche qualora non abbia effettuato essa stessa operazioni di trattamento di tali dati, o non abbia dato esplicitamente consenso al loro trattamento.
In particolare, la Corte ha stabilito che la persona giuridica è titolare del trattamento quando:
- partecipa alla determinazione delle finalità e dei mezzi del trattamento stesso;
- il trattamento è correlato alla realizzazione di un’applicazione, destinata poi al pubblico, che comporti trattamento di dati personali.
Inoltre, la Corte ha precisato che la contitolarità del trattamento in capo ai due enti non presuppone alcun accordo in ordine alle finalità e ai mezzi del trattamento dei dati personali, né alle condizioni relative alla contitolarità, chiarendo poi che la persona giuridica titolare del trattamento, in via generale, deve ritenersi responsabile in relazione a operazioni di trattamento di dati personali effettuate per suo conto da un responsabile del trattamento. Tuttavia, non risponde nell’ipotesi in cui tale responsabile abbia:
- effettuato trattamenti per finalità che gli sono proprie;
- trattato tali dati:
- in modo incompatibile con il quadro o le modalità del trattamento quali erano stati determinati dal titolare del trattamento;
- in modo tale che non si può ragionevolmente ritenere che tale titolare abbia a ciò acconsentito.
I chiarimenti forniti dalla Corte di giustizia avranno inevitabilmente un’importante portata applicativa, in quanto stabiliscono i criteri in base ai quali le autorità di controllo possono comminare sanzioni amministrative a persone giuridiche titolari del trattamento in caso di violazione del GDPR.
Per approfondire:
- CGUE, C-807/21, Deutsche Wohnen; - CGUE. C-683/21, Nacionalinis visuomenės sveikatos centras.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Sul margine di discrezionalità delle autorità garanti nell’infliggere sanzioni - Settembre 27, 2024
- Il parere del Garante sul decreto di recepimento della direttiva CER - Settembre 13, 2024
- Firmata la Convenzione quadro del Consiglio d’Europa sull’intelligenza artificiale - Settembre 5, 2024
- Il Parlamento UE emana un documento informativo di sintesi dell’AI Act - Settembre 2, 2024
- Il parere del Garante Privacy sullo schema di disegno di legge in materia di intelligenza artificiale - Agosto 9, 2024