Le sanzioni per le violazioni della privacy calcolate sul fatturato delle imprese risultano eccessive. Tuttavia, per le aziende che fanno parte di un gruppo, si deve considerare il fatturato complessivo del gruppo solo se la violazione deriva da una strategia comune. Questo è quanto stabilito dall’avvocato generale della Corte di Giustizia dell’Unione Europea (CGUE) il 12 settembre 2024. La decisione riguarda la causa C-383/23 e l’interpretazione dell’articolo 83 del regolamento europeo sulla privacy, il GDPR (Regolamento 2016/679).

Sanzioni privacy: l’articolo 83 del GDPR

L’articolo 83 del GDPR stabilisce i limiti massimi delle sanzioni pecuniarie per le violazioni commesse da titolari e responsabili del trattamento dei dati. In particolare, per le imprese sono previste due fasce di sanzione, che possono arrivare fino al 2% o al 4% del fatturato annuo globale, se tale percentuale supera rispettivamente i 10 o i 20 milioni di euro. Il problema sorge quando si deve determinare se, in caso di violazione da parte di un’impresa appartenente a un gruppo, la sanzione debba essere calcolata sul fatturato della singola impresa o sull’intero gruppo.

Il caso specifico affrontato dalla CGUE

La CGUE ha affrontato la questione in un contesto in cui una società appartenente a una catena di negozi di arredamento è accusata di aver conservato in modo illecito i dati di 350 mila ex clienti. Il garante della privacy ha proposto una sanzione di 201 mila euro, calcolata sul fatturato del gruppo. Tuttavia, il giudice ha applicato una sanzione più lieve di 13.400 euro, basandosi sul fatturato della singola impresa. Le parti hanno portato il caso in appello, e il tribunale danese ha chiesto alla Corte di Giustizia un’interpretazione definitiva del riferimento al fatturato nell’articolo 83 del GDPR.

La posizione dell’avvocato generale

Nelle sue conclusioni, l’avvocato generale ha differenziato due aspetti: il calcolo del massimo teorico della sanzione e quello del massimo applicabile in un caso concreto. Ha sostenuto che, per il calcolo del massimo teorico, si deve fare riferimento al fatturato del gruppo, ma per il calcolo della sanzione in un singolo caso bisogna considerare una serie di fattori specifici.

Secondo l’avvocato generale, è necessario esaminare se la capogruppo abbia esercitato un controllo sulle attività della società coinvolta nella violazione del GDPR. Bisogna anche verificare se la violazione riguardi solo la singola azienda o l’intero gruppo, e se più società del gruppo siano implicate nella violazione. Solo in caso di risposta positiva, si deve considerare il fatturato dell’intero gruppo, altrimenti si tiene conto solo del fatturato della singola società.

Implicazioni future in un sistema complesso

Se la CGUE accoglierà queste conclusioni, i garanti della privacy e i giudici dovranno valutare caso per caso se la violazione rientra in una strategia di gruppo o meno. L’avvocato generale ha anche osservato che la discrezionalità concessa ai garanti potrebbe portare a risultati molto variabili. Questo è già accaduto in alcuni tribunali italiani, dove le sanzioni applicate dal Garante della privacy sono state notevolmente ridotte.

Questo sistema solleva dubbi sul principio di legalità delle sanzioni, che dovrebbe garantire la prevedibilità delle stesse. Inoltre, l’avvocato generale ha fatto notare che l’articolo 4 del GDPR definisce l’impresa come un’entità singola, senza menzionare esplicitamente il gruppo, nonostante i riferimenti presenti nelle premesse del regolamento (considerando 150).

La situazione in Italia

In Italia, la futura decisione della CGUE avrà un impatto diretto. Tuttavia, esiste già una via alternativa per sanzionare le imprese appartenenti a un gruppo che esercitano potere decisionale sulle altre. In base all’articolo 5 della legge 689/1981, richiamato dal codice della privacy, quando più soggetti partecipano a una violazione amministrativa, ciascuno di essi è soggetto alla sanzione prevista per quella violazione.