La Cassazione ha fissato i criteri da seguire nell’attuazione delle sanzioni previste dal GDPR. Con la decisione numero 27189 datata 22 settembre 2023, la Corte di Cassazione, Sezione Prima, ha esaminato un caso concernente una sanzione amministrativa inflitta dal Garante privacy italiano nei confronti di una primaria società operante nel settore del food delivery.
Con il provvedimento n. 234 del 10 giugno 2021 la società ha ricevuto una sanzione pari a 2,6 milioni di euro per avere violato distinte norme del Regolamento GDPR in merito ai dati personali dei rider.
L’antefatto: la decisione del Tribunale di Milano
A seguito della sanzione ricevuta, l’azienda ha presentato ricorso presso il Tribunale di Milano contro la decisione dell’Autorità – ritenuta sproporzionata – ottenendo l’annullamento del provvedimento proprio a causa dell’eccessiva entità della sanzione comminata.
Nella sua pronuncia, il giudice milanese aveva sottolineato infatti che “sebbene la decisione dell’Autorità Garante potesse teoricamente giustificarsi in quanto era possibile intervenire nei confronti di una società italiana completamente controllata da un altro ente collettivo, tale ragionamento non era applicabile quando si trattava di stabilire la giusta entità della sanzione”. In altre parole, il giudice di primo grado sollevò una questione preliminare basata sulla natura sproporzionata della sanzione amministrativa.
Il tribunale sviluppò quindi una motivazione che sembrava chiaramente concentrata sulla sproporzione tra la sanzione inflitta e le condizioni economiche – ad avviso del Tribunale trascurate – della società coinvolta adducendo, a tal proposito, come ulteriore motivazione dell’annullamento il fatto che non si sia tenuto conto “dei ricavi ottenuti dalla società secondo il bilancio d’esercizio del 2019, chiuso con perdite”.
Per tale motivo, il tribunale annullò il provvedimento amministrativo in questione in quanto la sanzione risultava significativamente superiore al 4%, parametro stabilito dall’art. 83, par. 5, lett. a) del GDPR, e “superiore alla percentuale media (0,0019%)” che l’Autorità Garante aveva applicato ad altri soggetti che avevano violato le disposizioni e subito sanzioni.
Il ricorso in Cassazione
Avverso la sentenza emessa dal Tribunale di Milano il Garante ha presentato un ricorso per cassazione, basando la sua argomentazione su tre motivi specifici:
- La presunta violazione o erronea applicazione degli articoli 83 del GDPR in combinazione con l’articolo 166 del Codice della Privacy, relativi alla sanzione che sarebbe stata ritenuta eccessiva;
- L’omissione di un esame fondamentale riguardo al metodo di calcolo della sanzione;
- La presunta violazione o errata applicazione degli articoli 6 e 10 del Decreto Legislativo n. 150 del 2011 e dell’articolo 166 del Codice della Privacy. In questo caso, si sostiene che il giudice sia tenuto a quantificare la sanzione in conformità con le disposizioni di legge e, se del caso, a ridefinirla in base alla gravità effettiva delle circostanze.
Il controricorso della società
La società di food delivery, di contro, ha replicato con un controricorso e ricorso incidentale condizionato sollevando, a sua volta, tre motivi sostanzialmente incentrati sulla questione inerente al trattamento transfrontaliero di dati personali.
Più nello specifico, la tesi del ricorso incidentale si basava sul fatto che la società controllante aveva sede in un territorio extra UE e che la sede della società capogruppo all’interno dell’UE, dove sono presenti anche i server, si trova invece in Spagna. Da qui il presunto impedimento al nostro Garante di intervenire, essendo la capogruppo una società spagnola soggetta all’Autorità garante di quello Stato (AEPD).
La decisione della Cassazione
La Corte ha accolto il primo e il terzo motivo del ricorso principale, assorbito il secondo motivo, e ha ritenuto inammissibile il ricorso incidentale, rinviando nuovamente il caso al Tribunale di Milano.
Secondo gli Ermellini, l’autorità di controllo è tenuta a comminare una sanzione amministrativa pecuniaria per la violazione dei dati personali in base ai criteri di rilevanza, efficacia e proporzionalità nel caso specifico. L’articolo 83 del GDPR, infatti, stabilisce i limiti massimi di sanzione che vanno fino a 10.000.000 di euro o al 2% del fatturato mondiale annuo totale dell’anno precedente per le imprese, se questa cifra risulta superiore, ovvero fino a 20.000.000 di euro o al 4% del fatturato mondiale annuo totale dell’anno precedente per le imprese, se questa superiore. La Corte he ritenuto pertanto che, così come previsto esplicitamente dal Regolamento, la sanzione inflitta alla società ricorrente non potesse considerarsi oltre il limite massimo edittale previsto dalla legge.
Per quanto riguarda il terzo motivo del ricorso, la Corte di Cassazione ha sottolineato che, sebbene il Decreto Legislativo 150/2011 disciplini separatamente le controversie relative alla protezione dei dati personali nell’articolo 10, questa disposizione deve essere letta in combinato disposto con quanto stabilito dall’articolo 166, comma 7, del Codice della Privacy il quale fa esplicito riferimento alle disposizioni contenute negli articoli 1-9, 18-22, 24-28 della Legge 24 novembre 1981 n. 689 in materia di provvedimenti sanzionatori. Di conseguenza, il giudice ha il potere di annullare, modificare o rideterminare l’entità della sanzione in base alla specificità e all’effettività del caso concreto dovendo tuttavia rimanere all’interno dei parametri stabiliti dalla legge.
Infine, in relazione al ricorso incidentale promosso dalla Società, la Corte ha dichiarato inammissibile tale ricorso per la mancanza di rilevanza delle questioni sia per quanto riguarda il trattamento transfrontaliero, che riguarda la trasmissione di dati personali tra enti in vari paesi membri dell’Unione Europea, sia per quanto riguarda la competenza dell’Autorità nazionale, in quanto il trattamento dei dati era gestito in Italia in modo autonomo, attraverso contratti stipulati con i “rider”. Nello specifico, la Cassazione ha affermando nell’ordinanza, che “anche a fronte di un trattamento di dati mediante piattaforma, possono (e anzi debbono) esser mantenuti distinti i trattamenti posti in essere da una società italiana operante nel territorio nazionale, con propria autonomia di struttura e di negoziazione, rispetto a quelli posti in essere da un’entità sovranazionale capogruppo”.
L’analisi
Il caso presenta spunti ed argomentazioni di particolare rilievo, in particolare tre sono i punti di attenzione su cui porre il focus relativamente alla pronuncia della Corte:
Il primo principio che emerge dalla pronuncia della Cassazione è il criterio fondamentale stabilito dall’articolo 83 del GDPR, il quale sottolinea l’importanza della valutazione del caso specifico. L’Autorità è infatti tenuta a garantire che le sanzioni inflitte per le violazioni del GDPR siano “in ogni singolo caso” efficaci, proporzionate e dissuasive. In questo frangente la Corte ha voluto mettere in evidenza che grazie ai criteri stabiliti nell’articolo 83 del Regolamento si è significativamente ridotto il margine di discrezionalità delle singole Autorità Garanti nella determinazione delle sanzioni specifiche da imporre;
Il secondo principio cruciale riguarda il criterio della proporzionalità. Come richiamato negli articoli 83, paragrafi 4 e 5 del GDPR, che stabiliscono le fasce di sanzioni “fino a 10.000.000 di euro o fino a 20.000.000 di euro”, le quali sono applicate a seconda che la violazione rientri tra quelle elencate al paragrafo 4 (ad esempio, il mancato rispetto del principio di Privacy by Design, come stabilito dall’articolo 25) o tra quelle elencate al paragrafo 5 (ad esempio, il mancato adempimento ai diritti degli interessati in relazione alle informative, come previsto negli articoli 13 e seguenti).
A tal proposito la Cassazione ha chiarito che “il riferimento alla sanzione proporzionale non è posto dal GDPR in funzione di mitigare il limite massimo stabilito per la sanzione variabile ordinaria, ma rappresenta un limite massimo ulteriore e distinto, al quale bisogna fare riferimento solo se superiore (di per sé) al massimo della sanzione variabile ordinaria”. Ciò significa, secondo la Corte, che l’Autorità di controllo ha sicuramente il dovere di imporre una sanzione amministrativa pecuniaria per violazione dei dati personali ma che tale sanzione deve essere valutata in base al principio di proporzionalità e sempre in relazione al caso specifico.
Il ruolo del giudice ordinario
Da ultimo, dall’ordinanza è emerso con chiarezza come il giudice ordinario, anche nelle controversie in materia di protezione dei dati personali, abbia il potere di annullare integralmente o parzialmente il provvedimento emesso dall’Autorità di controllo o di modificarlo, compresa la quantità della sanzione applicata.
Tuttavia, la modifica della sanzione deve garantire che il suo importo finale non sia inferiore al minimo stabilito dalla legge. In altre parole, il giudice può intervenire sui provvedimenti emessi dalle Autorità, comprese le sanzioni pecuniarie ma, come è ovvio che sia, dovrà rispettare i parametri sanzionatori stabiliti dalla legge.
