Con una ordinanza che farà molto discutere, la I sezione Civile della Cassazione ha analizzato un caso concernente una sanzione amministrativa per violazione del Reg. (UE) 2016/679 (GDPR) in materia di protezione dei dati personali comminata dall’Autorità Garante per la Privacy nei confronti di una società di consegne a domicilio.
La Corte, limitando la discrezionalità delle Autorità Garanti, ha enfatizzato l’importanza del GDPR nella definizione delle sanzioni stabilendo criteri di rilevanza, effettività e proporzionalità ai fini della determinazione della sanzione da comminare in concreto.
Il Tribunale di Milano si era pronunciato nel 2022 su un provvedimento del Garante Privacy per eccessività della sanzione inflitta alla Società ricorrente per violazione di diverse norme contenute nel GDPR in relazione al trattamento dei dati personali dei c.d. rider.
Nello specifico, il Tribunale aveva annullato il provvedimento del Garante per eccessiva quantificazione della sanzione irrogata in ragione della violazione più grave – in misura pari al 7,29% – e quindi notevolmente superiore al parametro del 4% previsto dall’art. 83, comma 5 GDPR.
Inoltre, il Tribunale aveva provveduto all’annullamento del provvedimento senza possibilità per il giudice di modificare l’entità della pena, non essendo tale potere previsto dall’art. 10 D.lgs. n. 150/2011 che regola il procedimento impugnatorio.
Avverso la sentenza il Garante ha proposto un ricorso affidato a tre motivi inerenti, in sintesi, alla congruità della sanzione, al metodo di calcolo utilizzato e alla possibilità attribuita al giudice di rideterminazione della sanzione secondo prescrizioni di legge e in base all’effettiva gravità dei fatti.
La Società ha replicato promuovendo un controricorso incidentale fondato su ulteriori tre motivi, tra cui il trattamento transfrontaliero dei dati e la competenza dell’Autorità Garante Italiana.
La Cassazione ha accolto il primo e il terzo motivo del ricorso principale, dichiarato inammissibile il ricorso incidentale della Società e cassato la sentenza con rinvio al Tribunale di Milano anche per le spese di giudizio.
Secondo la Suprema Corte, è onere dell’autorità di controllo provvedere all’irrogazione di una sanzione amministrativa pecuniaria per violazione dei dati personali sulla regola della rilevanza, effettività e proporzionalità del singolo caso, rispettando i noti parametri di calcolo previsti dall’art. 83, paragrafi 4 e 5 (fino a 10.000.000 euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore; fino a 20.000.000 euro o per le imprese fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore).
Alla luce di tali considerazioni, il calcolo della sanzione inflitta alla Società ricorrente non ha travalicato il massimo edittale previsto.
Riferendosi al terzo motivo – squisitamente processuale – gli Ermellini hanno ravvisato, nel combinato disposto delle diverse discipline normative che regolano i procedimenti, la potestà del Tribunale di annullare, modificare e rideterminare in tutto o in parte l’entità della sanzione inflitta, tenuto conto della specificità ed effettività del singolo caso concreto.
In conclusione, la pronuncia risulta particolarmente rilevante poiché la Corte afferma i seguenti principi di diritto:
– l’art. 83GDPR prevede e disciplina le condizioni generali per irrogare sanzioni amministrative pecuniarie in relazione alla specificità, effettività e proporzionalità del singolo caso concreto;
– il totale della sanzione inflitta non può superare l’importo specificato per la violazione più grave, tenuto conto dei due parametri stabiliti ai paragrafi 4 e 5 dell’art. 83 GDPR;
– il giudice, anche nelle controversie in materia di protezione dei dati personali, può annullare in tutto o in parte il provvedimento o modificarlo anche limitatamente all’entità della sanzione dovuta, determinata in misura non inferiore al minimo edittale.
La pronuncia della Cassazione, con l’ordinanza in parola, ha stabilito principi fondamentali per l’applicazione delle sanzioni amministrative pecuniarie in materia di protezione dei dati personali ai sensi del GDPR.
La Corte ha posto l’accento sulla necessità di valutare attentamente la rilevanza, l’effettività e la proporzionalità delle sanzioni in base alle circostanze specifiche di ciascun caso.
Questo verdetto fornisce chiarezza sulle regole di base per l’imposizione delle sanzioni GDPR e stabilisce che il giudice ha il potere di annullare, modificare o rideterminare l’entità della sanzione, garantendo che sia adeguata alla gravità della violazione.