La Suprema Corte di Cassazione, con ordinanza del 22 settembre scorso, ha accolto il ricorso dell’Autorità Garante per la Protezione dei Dati Personali, delineando, nel testo del provvedimento, i criteri necessari delle sanzioni emesse ai sensi del regolamento europeo (GDPR).
Il caso nasce da una sanzione emessa nel 2021 nei confronti del ricorrente da parte del Garante, la quale aveva sancito la violazione della normativa in materia di protezione dei dati personali, emanando una sanzione pari a 2.600.000 di euro. Il provvedimento veniva impugnato avanti al Tribunale di Milano, che annullava la sanzione in quanto sproporzionata.
Infatti, il tribunale riteneva che la cifra, parametrata al fatturato del sanzionato, fosse troppo elevata (oltre il 7%), a fronte di un massimo edittale del 4% sancito dal GDPR. Inoltre, il Tribunale si dichiarava non competente per quanto riguarda il ricalcolo della sanzione, e di conseguenza la annullava. Il giudice milanese affermava testualmente che “la decisione del Garante, non lo era [legittima NDR] tuttavia sul piano della sanzione”.
Avverso la sentenza proponeva ricorso per Cassazione il Garante Privacy, lamentando: la violazione delle norme del GDPR in tema di sanzioni, l’omesso esame circa il calcolo della sanzione e, infine, la violazione delle norme procedurali che governano il rito ex d.lgs. 150/2011. A sua volta la società proponeva controricorso con ricorso incidentale, lamentando il mancato accertamento della natura transfrontaliera dei trattamenti, che avrebbe di conseguenza privato il Garante di giurisdizione sulla vicenda (a favore invece del garante spagnolo, l’AEPD).
La Corte di Cassazione ha accolto il ricorso del Garante, respingendo quello della società.
In particolare, è stato accolto il primo motivo relativo alla violazione delle norme in materia di sanzioni del GDPR, sull’assunto dell’errore in cui era incorso il Tribunale.
Il regolamento europeo, infatti, prevede che le violazioni siano sanzionate con due autonome disposizioni, a seconda della gravità della norma violata; un primo gruppo comporta una sanzione fino a 10 milioni di euro, il secondo fino a 20 milioni.
Il criterio del fatturato (2% per il primo gruppo e 4% per il secondo), utilizzato dal Tribunale come principale argomentazione per l’annullamento della sanzione, è in realtà residuale. Infatti, la Suprema Corte precisa che “…il riferimento alla sanzione proporzionale non è posto dal GDPR in funzione mitigatoria del limite edittale stabilito con la sanzione variabile ordinaria, ma rappresenta un limite edittale ulteriore e distinto, al quale occorre riferirsi solo se superiore (esso in quanto tale) al massimo della sanzione suddetta”. La norma, infatti, consente l’utilizzo del limite del fatturato “se superiore” al criterio puramente economico.
Inoltre, la Corte ha:
– precisato che la sanzione dev’essere in ogni caso effettiva, proporzionata, e dissuasiva e ricordato come il GDPR abbia introdotto una maggiore accuratezza del regime sanzionatorio, grazie proprio ai criteri dell’art. 83, ed infine
– cassato anche la parte di pronuncia in merito alla possibilità di rideterminare la sanzione da parte del Tribunale, sancendo che in queste tipologie di procedimento “il Giudice può annullare in tutto o in parte il provvedimento o modificarlo anche limitatamente all’entità della sanzione dovuta, che è determinata in una misura in ogni caso non inferiore al minimo edittale”.
Per quanto riguarda, invece, i motivi di controricorso, gli stessi sono stati tutti respinti. In particolare, è stato ritenuto non fondato il motivo riguardante la presunta competenza dell’AEPD quale autorità capofila in virtù della natura transfrontaliera del trattamento.
Infatti, pur se la società era sottoposta a direzione e coordinamento, i trattamenti avvenuti in Italia ed effettuati direttamente dalla controllata con propria autonomia di struttura e di negoziazione sono di competenza dell’autorità locale, in quanto mancano dei requisiti del regolamento per essere considerati transfrontalieri. Il controricorso è stato, conseguentemente, respinto.
Per la prima volta, la Corte di Cassazione ha evidenziato l’importanza del GDPR per quanto riguarda la definizione delle sanzioni, con un richiamo ai principi di rilevanza, effettività e proporzionalità. Inoltre, è stato chiarito che il Giudice di primo grado ha la possibilità, oltre che di annullare, anche di modificare e rideterminare l’importo della sanzione.
È sicuramente una sentenza fondamentale, in quanto chiarisce il ruolo del tribunale ordinario nell’affrontare i ricorsi contro le sanzioni del Garante ed, altresì, pone l’accento su come la sanzione debba rispettare determinati criteri e non debba solamente basarsi su un calcolo matematico.
DISCLAIMER: Questa newsletter fornisce solo informazioni generali e non costituisce una consulenza legale da parte di Macchi di Cellere Gangemi. L’autore dell’articolo o il vostro contatto in studio sono a Vostra disposizione per qualsiasi ulteriore chiarimento.