In due sentenze del dicembre 2023, la Corte di Giustizia dell’Unione Europea (di seguito anche “CGUE”) ha avuto modo di esaminare il tema delle sanzioni amministrative pecuniarie, correlate alla corretta applicazione dell’art. 83 GDPR.
Il caso della società immobiliare tedesca ‘Deutsche Wohnen’
La prima sentenza riguardava una controversia tra la società immobiliare tedesca “Deutsche Wohnen” e la Procura di Berlino; mentre la seconda vedeva coinvolti il Centro nazionale per la sanità pubblica lituano e l’Ispettorato nazionale per la protezione dei dati.
In entrambe le circostanze, erano state irrogate delle sanzioni amministrative pecuniarie da parte delle rispettive autorità nazionali di controllo. Nello specifico, in Germania, la società aveva subìto una sanzione da oltre 14 milioni di euro per aver tenuto i dati personali dei soggetti a cui aveva prestato consulenza per un periodo di tempo superiore a quello necessario, in violazione del principio di limitazione della conservazione; in Lituania, invece, il Centro Nazionale di sanità pubblica contestava una sanzione pecuniaria di importo pari a 12 mila euro, inflittagli con riferimento alla creazione di un’applicazione mobile, realizzata grazie all’assistenza di un’azienda privata, ai fini della registrazione e del controllo dei dati delle persone esposte al virus Covid-19.
La Corte di Giustizia ha stabilito le condizioni in presenza delle quali le autorità nazionali di controllo possono esplicare il loro potere sanzionatorio nei riguardi di uno o più titolari del trattamento per violazione del GDPR. Nello specifico, essa ha ribadito che presupposto necessario perché sia inflitta tale sanzione è un comportamento illecito, per tale intendendosi un’azione o un’omissione commesse commessa con dolo o colpa.
La Corte ha, in particolar modo, dichiarato che qualora il titolare del trattamento sia una persona giuridica, non è necessario che la violazione sia stata commessa da un suo organo amministrativo o che quest’organo ne abbia avuto conoscenza. Inoltre, il titolare potrà subire una sanzione amministrativa anche se ad effettuare le operazioni di trattamento dei dati sia stato un responsabile di cui si è avvalso e che ha agito per conto dello stesso titolare. Quest’ultimo, per converso, non risulterà responsabile della violazione se la figura designata abbia trattato i dati personali difformemente alle modalità del trattamento stabilite, contravvenendo alle istruzioni impartite, o senza il consenso del titolare.
La controversia tra il Centro nazionale per la sanità pubblica lituano e l’Ispettorato nazionale per la protezione dei dati
Nel caso lituano, la CGUE ha affermato che può essere considerato titolare del trattamento, ai sensi dell’art. 4, par. 1, n. 7 del GDPR, un ente che ha incaricato un’impresa di sviluppare un’applicazione informatica mobile e che, in tale contesto, ha partecipato alla determinazione delle finalità e dei mezzi del trattamento dei dati personali effettuato mediante tale applicazione, “anche se tale ente non ha proceduto, esso stesso, a operazioni di trattamento di tali dati, non ha dato esplicitamente il proprio consenso alla realizzazione delle operazioni concrete di un siffatto trattamento o alla messa a disposizione del pubblico di detta applicazione mobile e non ha acquisito quella stessa applicazione mobile, salvo che, prima di tale messa a disposizione nei confronti del pubblico, il suddetto ente si sia espressamente opposto ad essa e al trattamento dei dati personali che ne è derivato”.
Difatti, secondo l’impostazione adottata dalla Corte nella definizione del titolare del trattamento ai fini dell’irrogazione della sanzione amministrativa pecuniaria, deve tenersi in conto di qualsiasi persona fisica o giuridica che influisca sul trattamento dei dati personali e partecipi alla determinazione delle finalità e dei mezzi di tale trattamento, in conformità alla nozione “funzionale” della definizione indicata nel GDPR e sostenuta anche dall’European Data Protection Board nelle linee guida 07/2020 sui concetti di titolare e responsabile.
La Corte si spinge ancora oltre, affermando che non è necessario che le finalità e i mezzi del trattamento siano determinati mediante orientamenti scritti o istruzioni da parte del titolare del trattamento né che quest’ultimo sia stato formalmente designato come tale. Pertanto, per stabilire se un ente possa essere considerato titolare del trattamento, ai sensi dell’articolo 4, par. 1, n. 7 del GDPR sarà necessario valutare attentamente se e come esso abbia effettivamente influito sulla determinazione delle finalità e dei mezzi di tale trattamento, per fini che siano allo stesso direttamente riferibili.
Valutazione delle misure di sicurezza adottate e risarcibilità del danno
Con la sentenza del 14 dicembre 2023, nella causa C-340/21, invece, la Corte di giustizia ha emesso chiare direttive sulla protezione dei dati personali e la libera circolazione degli stessi. La decisione riguardava la controversia tra un interessato e l’Agenzia Nazionale Bulgara per le entrate pubbliche (“NAP”) per un presunto danno immateriale derivante dalla violazione di dati personali in seguito ad un attacco hacker del 2019, con conseguente pubblicazione online di dati personali di oltre sei milioni di utenti della NAP. Il ricorso presentato dal soggetto leso è stato accolto dalla Corte di Giustizia che si è ritrovata a dover affrontare diverse questioni chiave nel contesto della protezione dei dati.
La Corte ha in particolar modo chiarito che gli articoli 24 e 32 del GDPR impongono al titolare del trattamento l’adozione di misure tecniche e organizzative idonee a prevenire violazioni dei dati personali.
L’adeguatezza di tali misure deve essere valutata dai giudici nazionali in concreto, pertanto, la divulgazione non autorizzata o l’accesso da parte di terzi non costituiscono automaticamente prova di inadeguatezza delle misure adottate dal titolare. Inoltre, nel contesto di un’azione risarcitoria avviata in conformità all’art.82 del GDPR, il titolare del trattamento ha l’onere di dimostrare l’adeguatezza delle misure di sicurezza adottate ai sensi dell’art. 32.
In seconda battuta, la Corte ha sottolineato che, con riferimento alla normativa nazionale venuta in rilievo per il caso di specie, una perizia giudiziaria non è sistematicamente necessaria e sufficiente per valutare l’adeguatezza delle misure di sicurezza, respingendo un’interpretazione che avrebbe potuto minare il principio di effettività del diritto dell’Unione.
Responsabilità del titolare del trattamento e risarcibilità del danno secondo la CGUE
Circa la responsabilità del titolare del trattamento per l’obbligo di risarcimento del danno, la Corte, ha rammentato che: a) in linea di principio, il titolare del trattamento è tenuto a risarcire un danno causato da una violazione del GDPR connessa a tale trattamento; b) può essere esonerato da responsabilità solo se fornisce la prova che il fatto lesivo non gli è in alcun modo imputabile, come nel caso di specie, in cui la violazione è stata perpetrata da criminali informatici.
Perciò, innanzi ad una violazione di dati personali perpetrata da un terzo, il titolare del trattamento può liberarsi dalla propria responsabilità, in conformità all’art. 82, par. 3 del GDPR, dimostrando l’assenza di un nesso causale tra la sua potenziale violazione dell’obbligo di protezione dei dati e il danno subito dalla persona fisica.
L’interpretazione del “danno immateriale” secondo la CGUE
Infine, pronunciandosi in tema di “danno immateriale”, la Corte ha interpretato la disposizione di cui all’art. 82, paragrafo 1 del GDPR stabilendo che il timore di un potenziale utilizzo abusivo dei propri dati personali da parte di terzi, che un interessato nutre a seguito di una violazione della normativa in esame, può di per sé, costituire un danno immateriale. La disposizione pertanto, così formulata, non esclude che la nozione di “danno immateriale” comprenda un caso come quello preso a riferimento, in cui, l’interessato al fine di ottenere un risarcimento, invoca il timore che i suoi dati personali siano oggetto di un futuro utilizzo abusivo da parte di terzi, a causa del verificarsi della violazione di tale regolamento.
La Corte ha chiarito che, per l’ammissibilità del risarcimento del danno, è necessario soddisfare determinati requisiti, tra cui l’esistenza del danno, l’accertamento della violazione ed il nesso di causalità diretto tra la violazione e il danno subito. I tre parametri sono indispensabili e devono coesistere affinché sia possibile avanzare una richiesta di risarcimento valida.
Conclusioni
Alla luce di quanto illustrato, seppure la Corte ripercorra il dettato normativo ormai noto, fornisce significativi spunti di riflessione in tema di responsabilità per il trattamento dei dati personali e risarcibilità del danno. Si ribadisce, difatti, che l’imposizione di una sanzione presuppone un comportamento illecito posto in essere con dolo o colpa, specie quando non siano state adottate, consapevolmente misure tecniche e organizzative adeguate a prevenire le violazioni dei dati personali. La Corte, inoltre, nel fornire la propria interpretazione circa alcune delle norme salienti del GDPR ha per la prima volta qualificato il concetto di “danno immateriale”, riconoscendo il timore di un potenziale utilizzo abusivo come potenziale elemento alla base del risarcimento (previa dimostrabilità del nesso causale).
