La Cassazione Civile sui i parametri delle sanzioni GDPR

L’ordinanza n. 27189/2023 della Cassazione Civile sui i parametri delle sanzioni GDPR: rilevanza, effettività e proporzionalità

di Michele Di Salvo

Con l’ordinanza n. 27189 del 22 settembre 2023, la Cassazione Civile ha stabilito principi fondamentali per l’applicazione delle sanzioni amministrative pecuniarie in materia di protezione dei dati personali ai sensi del GDPR. 

La Corte ha posto l’accento sulla necessità di valutare attentamente la rilevanza, l’effettività e la proporzionalità delle sanzioni in base alle circostanze specifiche di ciascun caso. Questo verdetto fornisce chiarezza sulle regole di base per l’imposizione delle sanzioni GDPR e stabilisce che il giudice ha il potere di annullare, modificare o rideterminare l’entità della sanzione, garantendo che sia adeguata alla gravità della violazione.

La Cassazione Civile sez. I ha analizzato un caso concernente una sanzione amministrativa per violazione del Reg. UE 679/2016 (GDPR) in materia di protezione dei dati personali, da un lato enfatizzando l’importanza del GDPR nella definizione delle sanzioni, dall’altro limitando la discrezionalità delle Autorità Garanti e stabilendo criteri di rilevanza, effettività e proporzionalità.

Nel caso specifico la I Sezione è intervenuta sulla decisione del Tribunale di Milano avente ad oggetto l’irrogazione di una sanzione amministrativa per violazione delle norme contenute nel Reg. UE 679/2016 ex artt.83 GDPR e 166 D.lgs. 196/2003 come modificato dal D.lgs. 101/2018. 

La Corte ha precisato che una delle innovazioni più importanti introdotte dal GDPR è costituita dalla maggiore accuratezza del sistema sanzionatorio, che ha limitato la valutazione discrezionale delle Autorità Garanti, ai fini della determinazione della sanzione da comminare in concreto.

Il Tribunale di Milano, con sentenza n. 3276/2022, si è pronunciato sul provvedimento del Garante per la protezione dei dati personali per eccessività della sanzione inflitta alla Società ricorrente per violazione di diverse norme contenute nel GDPR in relazione ai dati personali dei c.d. rider. 

Nello specifico, il Tribunale ha annullato il provvedimento del Garante per eccessiva quantificazione della sanzione irrogata in ragione della violazione più grave – in misura pari al 7,29% – e quindi notevolmente superiore al parametro del 4% previsto dall’art. 83 comma 5 GDPR. Inoltre, il Tribunale ha provveduto all’annullamento del provvedimento senza possibilità per il giudice di modificare l’entità della pena, non essendo tale potere previsto dall’art. 10 D.lgs. 150/2011.

Avverso la sentenza, il Garante ha proposto un ricorso affidato a tre motivi: in primo luogo, il Garante lamenta la violazione e falsa applicazione degli artt. 83 GDPR e 166 Codice Privacy, essendo stata la sanzione – contrariamente a quanto affermato dalla Società – irrogata nella misura consentita, tenuto conto degli elementi valutativi di cui all’art. 83 GDPR; in secondo luogo, denuncia l’omissione di un esame decisivo di fatto, in relazione al metodo di calcolo e infine, segnala la violazione e falsa applicazione degli artt. 6 e 10 D.lgs. 150/2011 e 166 Codice Privacy, essendo il giudice tenuto, anche in materia di protezione dei dati personali, a quantificare la sanzione ed eventualmente rideterminare la stessa, secondo prescrizioni di legge e in base all’effettiva gravità dei fatti. 

Contro tale ricorso, la Società ha replicato promuovendo un controricorso fondato su ulteriori tre motivi di ricorso incidentale condizionato. In particolare, il primo motivo si fonda sulla violazione e falsa applicazione degli artt. 56 e 60 GDPR relativi alle ipotesi di trattamento transfrontaliero di dati personali che escludono la competenza dell’Autorità nazionale a fronte di quella capofila, essendo la Società italiana interamente controllata da altro ente pubblico con sede in Spagna; con il secondo motivo, si segnala l’omesso esame di fatti decisivi circa il funzionamento della piattaforma utilizzata per il trattamento dei dati personali dei rider e con il terzo motivo, si afferma l’omesso esame di fatti decisivi sulla base del procedimento parallelo azionato dall’Autorità spagnola.

La Cassazione ha accolto il primo e il terzo motivo di ricorso principale, assorbito il secondo, dichiarato inammissibile il ricorso incidentale e cassato la sentenza, rinviando al Tribunale di Milano anche per le spese di giudizio. 

Secondo la Suprema Corte, è onere dell’autorità di controllo provvedere all’irrogazione di una sanzione amministrativa pecuniaria per violazione dei dati personali sulla regola della rilevanza, effettività e proporzionalità del singolo caso. 

L’art. 83 impone ai par. 4 e 5 due regole di base: fino a 10.000.000 euro o per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, “se superiore”; fino a 20.000.000 euro o per le imprese fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, “se superiore”. Alla luce di tali considerazioni, il calcolo della sanzione inflitta alla Società ricorrente non ha travalicato il massimo edittale previsto.

Con riferimento al terzo motivo di ricorso, i giudici rilevano che, pur potendosi affermare che il D.lgs. 150/2011 disciplina separatamente all’art. 10 le controversie in materia di protezione dei dati personali e dunque che in tale norma non può ritrovarsi uno specifico riferimento alla potestà del tribunale di rideterminare una sanzione, è pur vero che tale previsione deve essere letta in combinato disposto con quanto stabilito dall’art. 166 comma 7 Codice Privacy, il quale rinvia in materia di provvedimenti sanzionatori alle disposizioni contenute agli artt. 1-9, 18- 22, 24-28 L. 24 novembre 1981 n. 689. Il giudice, quindi, può annullare, modificare e rideterminare in tutto o in parte l’entità della sanzione inflitta, tenuto conto della specificità ed effettività del singolo caso concreto.

Con riferimento al ricorso incidentale, la Corte ha ritenuto lo stesso inammissibile per irrilevanza della questione sia sotto il profilo del trattamento transfrontaliero, qualificandosi come tale quel trattamento posto in essere da un medesimo titolare nell’ambito di attività di stabilimenti in uno o più stati membri, sia sotto il profilo della competenza dell’Autorità nazionale, in ragione della natura del trattamento di dati operato in Italia in condizioni di sostanziale autonomia, in forza dei contratti stipulati con i rider.

In conclusione, la pronuncia risulta particolarmente rilevante poiché la Corte afferma i seguenti principi di diritto:

– l’art. 83 GDPR prevede e disciplina le condizioni generali per irrogare sanzioni amministrative pecuniarie in relazione alla specificità, effettività e proporzionalità del singolo caso concreto;

– il totale della sanzione inflitta non può superare l’importo specificato per la violazione più grave, tenuto conto dei due parametri stabiliti ai paragrafi 4 e 5 art. 83 GDPR;

– il giudice, anche nelle controversie in materia di protezione dei dati personali, può annullare in tutto o in parte il provvedimento o modificarlo anche limitatamente all’entità della sanzione dovuta, determinata in misura non inferiore al minimo edittale.

La pronuncia della Cassazione Civile, con l’ordinanza in parola, ha stabilito principi fondamentali per l’applicazione delle sanzioni amministrative pecuniarie in materia di protezione dei dati personali e fornisce chiarezza sulle regole di base per l’imposizione delle sanzioni GDPR e stabilisce che il giudice ha il potere di annullare, modificare o rideterminare l’entità della sanzione, garantendo che sia adeguata alla gravità della violazione. 

Di particolare rilievo questo approccio di definizione complessiva dei criteri e dei parametri in una questione che riguardava una multinazionale, quindi con l’implicazione della più ampia tematica transfrontaliera, e ciò ha quanto mai rilevanza almeno sotto due profili: il primo, la sempre maggiore rilevanza dei soggetti multinazionali come “veri” soggetti che trattano il dato personale, e il secondo, per il fatto che troppo spesso proprio questa dimensione trans-nazionale viene adoperata per eludere e elidere il momento sanzionatorio e la determinazione della violazione.