In materia di sanzioni privacy “no” della Corte UE (Grande Sezione) alla responsabilità oggettiva delle persone giuridiche

By Dario Di Maria Posted in Ius, Privacy - cybersecurity Tagged , , ,

Corte di Giustizia dell’ Unione Europea, Grande Sezione, sentenza del 5 dicembre nella causa C‑807/21


Il giudice del rinvio chiede se l’articolo 83 del RGPD debba essere interpretato nel senso che una sanzione amministrativa pecuniaria può essere inflitta ai sensi di tale disposizione solo qualora venga accertato che il titolare del trattamento, che sia al contempo una persona giuridica e un’impresa, ha commesso, con dolo o colpa, una violazione di cui ai paragrafi da 4 a 6 di tale articolo.
In proposito, va ricordato che dall’articolo 83, paragrafo 1, del RGPD risulta che le sanzioni amministrative pecuniarie devono essere effettive, proporzionate e dissuasive. Per contro, l’articolo 83 del RGPD non precisa espressamente che le violazioni di cui ai paragrafi da 4 a 6 di tale articolo possano essere punite con una sanzione siffatta solo se commesse con dolo o, quanto meno, con colpa.
I governi tedesco, estone e norvegese nonché il Consiglio dell’Unione europea ne deducono segnatamente che il legislatore dell’Unione avrebbe inteso lasciare agli Stati membri un certo margine di discrezionalità nell’attuazione dell’articolo 83 del RGPD, consentendo loro di prevedere l’imposizione di sanzioni amministrative pecuniarie ai sensi di tale disposizione, eventualmente, senza che sia accertato che la violazione del RGPD punita con detta sanzione sia stata commessa con dolo o con colpa.
Una siffatta interpretazione dell’articolo 83 del RGPD non può essere accolta.

Per questi motivi, la Corte (Grande Sezione) dichiara:
1) L’articolo 58, paragrafo 2, lettera i), e l’articolo 83, paragrafi da 1 a 6, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), devono essere interpretati nel senso che:
essi ostano a una normativa nazionale in forza della quale una sanzione amministrativa pecuniaria può essere inflitta a una persona giuridica, nella sua qualità di titolare del trattamento, per una violazione di cui ai paragrafi da 4 a 6 di tale articolo 83 solo a condizione che tale violazione sia stata previamente imputata a una persona fisica identificata.
2) L’articolo 83 del regolamento 2016/679 deve essere interpretato nel senso che:
una sanzione amministrativa pecuniaria può essere inflitta ai sensi di tale disposizione solo qualora venga accertato che il titolare del trattamento, che sia al contempo una persona giuridica e un’impresa, ha commesso, con dolo o colpa, una violazione di cui ai paragrafi da 4 a 6 di tale articolo.

Comments are closed.