L’ordinanza n. 27189 del 14 settembre 2023 ha rimarcato l’importanza delle peculiarità del caso di specie per determinare la sanzione pecuniaria e dettato importanti indicazioni al fine di individuare il massimo edittale di volta in volta applicabile.
I fatti contestati e la sentenza del Tribunale di Milano
Il Garante Privacy, con provvedimento del giugno 2021, sanzionava una società di food delivering per 2 milioni e 600 mila euro, stante l’accertamento di plurime violazioni del Regolamento 2016/679 (“GDPR”) in relazione al trattamento dei dati personali dei cc.dd. rider. Il Tribunale di Milano, successivamente adito in sede di impugnazione, con sentenza dell’aprile 2022, annullava tale provvedimento per eccessività della sanzione inflitta. In particolare, a mente del Giudicante lombardo, l’Autorità aveva erroneamente quantificato la sanzione in misura pari al 7,29% del fatturato annuo globale della società poiché decisamente superiore al parametro del 4% menzionato dall’art. 83 GDPR, nonché maggiore rispetto alla percentuale media (0,0019%) applicata dal medesimo Garante ad altri soggetti sanzionati. Il Tribunale rappresentava, inoltre, di non poter modificare l’entità della sanzione in commento, poiché - alla luce della normativa applicabile a giudizi analoghi - sprovvista dei poteri all’uopo necessari.
Il ricorso del Garante e le decisioni della Cassazione
Il Garante Privacy aveva quindi impugnato tale sentenza con ricorso per Cassazione, lamentando, tra i propri motivi, l’errata applicazione della normativa di riferimento in materia di determinazione delle sanzioni in ambito privacy, nonché ritenendo che il giudice adito in sede di impugnazione ben avrebbe potuto – contrariamente a quanto evidenziato dal tribunale milanese – rideterminare la sanzione in base alla effettiva gravità dei fatti.
Accogliendo i motivi di ricorso dell’Autorità, la Suprema Corte ha enunciato i seguenti importanti principi in tema sanzionatorio.
Gli Ermellini, rappresentando preliminarmente che ciascuna autorità di controllo, nel determinare una sanzione, deve tener conto del singolo caso di specie e del fatto che la sanzione risulti sempre effettiva, proporzionata e dissuasiva (ex art. 83 GDPR), rilevano come non possa attribuirsi una “valenza giuridica” alla circostanza per cui una determinata sanzione risulti superiore alla percentuale media applicata dal Garante in altri casi (peraltro non specificati).
Ancora, sempre sulla scorta dell’art. 83 par. 4 e 5 GDPR, occorre rilevare che si tratta di due tipologie di sanzioni amministrative pecuniarie, entrambe determinate in una somma variabile fino ad un massimo (10 o 20 milioni di euro) a seconda della tipologia di violazione riscontrata. In più, in entrambe le casistiche, è prevista, alternativamente (e solo per le imprese), una sanzione proporzionale (fino al 2% o al 4% del fatturato mondiale totale annuo dell'esercizio precedente), applicabile solo “se superiore” rispetto al valore massimo della sanzione edittale variabile. Da tale premessa ne discende che, nel caso di specie, non assume alcuna rilevanza che il fatturato mondiale annuo della società si fosse attestato, per il 2019, nella somma di circa 35 milioni di euro dal momento che il calcolo della sanzione non ha travalicato il massimo edittale previsto. Massimo che non potrebbe sostanziarsi nel 4% del fatturato mondiale ma nell’importo di 20 milioni di euro, essendo stata comminata una sanzione di ammontare inferiore (i.e. 2 milioni e 600 mila euro).
La Corte di Cassazione ha poi stabilito che il Tribunale di Milano avrebbe potuto anche rimodulare il valore economico della sanzione, al contrario di quanto dallo stesso affermato. Infatti, il D.lgs. 150/2011 consente al giudice, in combinato disposto con quanto previsto dal “Codice Privacy” di modificare – anche nelle controversie in materia di dati personali – l’entità della sanzione.
Quali orientamenti trarre?
I principi affermati nell’ordinanza in commento ribadiscono la centralità da attribuire al perseguimento dei criteri di proporzionalità, effettività e dissuasività nella determinazione della sanzione. Le peculiarità del caso di specie e, è logico presumere, la “capacità economica” del sanzionato, assumeranno un’importanza notevole, specie in punto di effettiva portata dissuasiva.
Altresì molto interessante risulta l’interpretazione fornite dalla Suprema Corte sul massimo edittale applicabile. Laddove la sanzione, infatti, si attesti sotto il limite di 10 o 20 milioni, la porzione di fatturato del soggetto sanzionato non assumerebbe rilevanza, stante la precisazione del legislatore comunitario per cui tale elemento rileverebbe solo “se superiore”.
Avv. Pietro Maria Mascolo e Dott. Lapo Lucani