Le modalità di applicazione delle sanzioni per violazione del GDPR
In allegato a questo articolo mettiamo a disposizione dei lettori due interessantissime sentenze della corte di giustizia dell’unione europea, che fanno chiarezza su alcuni aspetti, talvolta controversi, afferenti all’applicazione del regolamento generale europeo sulla protezione dei dati personali
La prima sentenza, che desideriamo illustrare ai lettori, risale al 5 dicembre 2023 ed affronta un tema, che è sicuramente di grande interesse.
Questa sentenza (683/21) fa’ riferimento ad una azienda, che si era affidata ad un’azienda terza per sviluppare un’applicazione informatica mobile, che utilizzava dati personali, che venivano messi a disposizione dalla prima azienda.
Purtroppo, i responsabili delle due aziende coinvolte non avevano stipulato un accordo (azienda committente ed azienda appaltatrice) circa le modalità di trattamento dei dati personali, rispettivamente messi a disposizione e, rispettivamente, utilizzati per sviluppare l’applicazione.
L’alta corte ha dichiarato che, anche in assenza di pattuizioni contrattuali, vi è un’evidente contitolarità del trattamento fra l’azienda che ha dato l’incarico di sviluppare l’applicazione informatica e l’azienda che tale applicazione ha sviluppato.
Pertanto, i due aziende vengono considerate contitolari del trattamento, anche se non è stato definito un accordo sulla determinazione delle finalità e dei mezzi di trattamento dei dati personali in causa. A tutti gli effetti, il fatto che l’azienda terza, per sviluppare l’applicativo mobile, debba utilizzare dati personali, messi a disposizione dal committente, costituisce attività di trattamento, a meno che tali dati non siano stati resi anonimi, in modo da non consentire più l’identificazione dell’interessato o che, in alternativa, si tratti di dati fittizi, che non facciano riferimento a una persona fisica esistente.
Con questa sentenza appare chiaro che quando una azienda committente affida i suoi dati personali ad un’azienda appaltatrice, è sempre bene stipulare un contratto, che stabilisca gli obblighi e le responsabilità delle due parti.
Approfondimento della normativa ISO 11064 e altre norme per la progettazione delle sale di controllo, a cura di di Adalberto Biasiotti. |
La seconda sentenza (807/21) fa’ invece riferimento al fatto che una grande agenzia immobiliare tedesca trattava una gran quantità di dati personali, strettamente legati all’attività svolta.
In particolare, ecco la natura della contestazione.
Durante un’ispezione, effettuata il 23 giugno 2017, l’autorità di controllo per la protezione dei dati personali di Berlino ha accertato che questa agenzia immobiliare conservava documenti contenenti dati personali dei locatari in un sistema, che non consentiva di verificare se la conservazione fosse necessaria e neppure che tali dati fossero cancellati, quando appropriato.
L’autorità di controllo ha chiesto l’agenzia immobiliare di provvedere alla cancellazione immediata dei documenti superflui, ma l’agenzia si è rifiutata, dichiarando che la soppressione non era possibile, per ragioni tecniche e giuridiche.
Per venire incontro alla richiesta dell’autorità, l’agenzia immobiliare ha allora avviato la messa a punto di un nuovo sistema informatico di archiviazione, ma il ritardo con cui quest’operazione è stata effettuata ha fatto sì che la autorità di Berlino abbia applicato una sanzione a questa agenzia immobiliare, per violazione dell’articolo 5 e dell’articolo 25 del regolamento generale europeo. L’autorità di controllo ha inflitto una sanzione amministrativa di più di 14 milioni di euro, per violazione dolosa dell’articolo 5 e del già menzionato articolo 25.
L’oggetto del contenzioso riguardava soprattutto il fatto che fosse possibile, ai sensi dell’articolo 83 del regolamento generale europeo, infliggere una sanzione amministrativa pecuniaria ad una persona giuridica, senza che la violazione del regolamento citato sia stata previamente imputata ad una persona fisica ben identificata.
La situazione era resa ulteriormente complicata per il fatto che l’applicazione in Germania del GDPR ha portato ad alcune lievi modifiche, rispetto al testo letterale del GDPR, creando quindi la possibilità di confusione tra alcune interpretazioni dello stesso regolamento.
Ecco il motivo per cui la corte di giustizia ha anche dovuto accertare il fatto che l’attuazione del GDPR in Germania, con testi legislativi nazionali, non alterasse le disposizioni del GDPR stesso, aventi l’obiettivo di garantire un livello coerente ed elevato di protezione dei dati delle persone fisiche. Il fatto che una sanzione debba essere necessariamente applicata ad una persona fisica, rischierebbe, in definitiva, di indebolire l’efficacia dell’effetto dissuasivo delle sanzioni amministrative pecuniarie, inflitte a persone giuridiche, in quanto titolari del trattamento.
A ciò va aggiunta alla ulteriore considerazione circa il fatto che l’importo delle sanzioni, come chiaramente il regolamento dice, deve essere valutato sulla base della capacità economica reale o materiale del destinatario della sanzione. È evidente che, in questo caso, occorre valutare la capacità economica della azienda, e non di una persona fisica, come potrebbe essere ad esempio l’amministratore delegato dell’azienda.
La corte europea conclude pertanto che una sanzione amministrativa pecuniaria può essere inflitta anche ad una persona giuridica, nella sua qualità di titolare del trattamento, indipendentemente dal fatto che tale violazione sia stata previamente imputata una persona fisica specifica.
Confidiamo che i lettori, leggendo attentamente queste due sentenze, disponibili in lingua italiana, possano avere a disposizione preziosi elementi per meglio valutare i loro futuri modelli di comportamento.
Sentenza 807/21 (pdf)
Sentenza 683/21 (pdf)
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.