Con due sentenze di ieri, 5 dicembre 2023, la Corte di giustizia dell’Unione europea ha fornito importanti chiarimenti in materia di sanzioni amministrative per violazione del Regolamento generale sulla protezione dei dati (GDPR) nei confronti di persone giuridiche titolari del trattamento.
In particolare, la Corte ha analizzato due ipotesi in cui le sanzioni GDPR possono essere comminate alla persona giuridica titolare del trattamento:
- violazione (c.d. “interna“) commessa da un suo organo interno: in questo caso, la Corte ha precisato che la sanzionabilità della persona giuridica non è esclusa dal fatto che la violazione non sia imputabile a una persona fisica identificata. Al contrario, la sanzione amministrativa può essere inflitta laddove venga accertato che la persona giuridica, titolare del trattamento, abbia commesso, con dolo o colpa, la violazione;
- violazione (c.d. “esterna“) attribuibile ad una terza persona giuridica: in questo caso, la Corte ha riconosciuto che la persona giuridica che abbia incaricato un’impresa terza del trattamento di dati personali è comunque titolare del trattamento, anche qualora non abbia effettuato essa stessa operazioni di trattamento di tali dati, o non abbia dato esplicitamente consenso al loro trattamento.
In particolare, la Corte ha stabilito che la persona giuridica è titolare del trattamento quando:
- partecipa alla determinazione delle finalità e dei mezzi del trattamento stesso;
- il trattamento è correlato alla realizzazione di un’applicazione, destinata poi al pubblico, che comporti trattamento di dati personali.
Inoltre, la Corte ha precisato che la contitolarità del trattamento in capo ai due enti non presuppone alcun accordo in ordine alle finalità e ai mezzi del trattamento dei dati personali, né alle condizioni relative alla contitolarità, chiarendo poi che la persona giuridica titolare del trattamento, in via generale, deve ritenersi responsabile in relazione a operazioni di trattamento di dati personali effettuate per suo conto da un responsabile del trattamento. Tuttavia, non risponde nell’ipotesi in cui tale responsabile abbia:
- effettuato trattamenti per finalità che gli sono proprie;
- trattato tali dati:
- in modo incompatibile con il quadro o le modalità del trattamento quali erano stati determinati dal titolare del trattamento;
- in modo tale che non si può ragionevolmente ritenere che tale titolare abbia a ciò acconsentito.
I chiarimenti forniti dalla Corte di giustizia avranno inevitabilmente un’importante portata applicativa, in quanto stabiliscono i criteri in base ai quali le autorità di controllo possono comminare sanzioni amministrative a persone giuridiche titolari del trattamento in caso di violazione del GDPR.
Per approfondire:
- CGUE, C-807/21, Deutsche Wohnen; - CGUE. C-683/21, Nacionalinis visuomenės sveikatos centras.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Verso una regolamentazione consapevole: analisi del Codice di Buone Pratiche sull’intelligenza artificiale generale - Novembre 15, 2024
- L’armonizzazione degli standard per l’AI Act: verso una conformità normativa sicura e affidabile - Ottobre 31, 2024
- Consultazione della Commissione Europea sull’accesso ai dati delle piattaforme - Ottobre 29, 2024
- Sanzione del Garante Privacy a Postel S.p.A.: prevenzione e corretta segnalazione della violazione in caso di data breach - Ottobre 23, 2024
- Sul valore probatorio delle firme elettroniche nel processo - Ottobre 18, 2024