WEBINAR / 25 Ottobre
La gestione degli incidenti ICT nel contesto DORA


Gli obblighi di classificazione e segnalazione degli incidenti ICT e di programmazione dei test di resilienza operativa digitale

ZOOM MEETING
Offerte per iscrizioni entro il 04/10


WEBINAR / 25 Ottobre
Gli incidenti ICT nel contesto DORA
www.dirittobancario.it
Giurisprudenza

Sanzioni GDPR per persone giuridiche titolari del trattamento

13 Dicembre 2023

Corte di giustizia UE, Grande Sezione, 5 dicembre 2023, sentenze C 683/21 e C 807/21 – Pres. Lenaerts, Rel. Jääskinen

Di cosa si parla in questo articolo

La Corte di Giustizia, con sentenze del 5 dicembre scorso, pronunciata nelle cause C-807/21, Deutsche Wohnen, e C-683/21, Nacionalinis visuomenės sveikatos centras, ha fornito importanti precisazioni in ordine all’applicabilità di sanzioni amministrative per violazione di norme del Regolamento GDPR nei confronti di persone giuridiche che siano titolari del trattamento.

Più in particolare, la Corte ha analizzato la duplice ipotesi in cui le sanzioni GDPR siano comminate alla persona giuridica titolare del trattamento:

  • per violazione (“interna”) commessa da un suo organo interno
  • per violazione (“esterna”) attribuibile ad una terza persona giuridica

Sanzioni GDPR per violazione “interna”

Con riferimento alla violazione “interna”, nella sentenza C 807/21, la Corte di giustizia UE ha precisato come non possa essere esclusa la sanzionabilità della persona giuridica, nella sua qualità di titolare del trattamento, per il sol fatto che la violazione non sia imputabile ad una persona fisica identificata.

Diversamente, precisa la Corte, le sanzione amministrativa può essere inflitta laddove venga accertato che la persona giuridica, titolare del trattamento, abbia commesso, con dolo o colpa, la violazione.

Sanzionabilità per violazione “esterna”

Per quanto riguarda la violazione “esterna”, con la sentenza C-683/21, la Corte di giustizia UE riconosce quale titolare del trattamento la persona giuridica che abbia incaricato un’impresa terza del trattamento di dati personali, laddove abbia comunque partecipato alla determinazione delle finalità e dei mezzi del trattamento stesso.

In tale ipotesi, la persona giuridica si qualifica titolare del trattamento anche qualora:

  • non abbia effettuato essa stessa operazioni di trattamento di tali dati, o
  • non abbia dato esplicitamente consenso al loro trattamento.

A contrario, non si qualifica titolare del trattamento la stessa persona giuridica che si sia espressamente opposta al trattamento dei dati personali che ne è derivato.

Nel caso di specie, il trattamento dei dati da parte dell’impresa terza era correlato alla realizzazione di un’applicazione, destinata poi al pubblico, che comportasse trattamento di dati personali.

Per quanto riguarda inoltre la contitolarità del trattamento in capo ai due enti, la Corte precisa come questa non presupponga alcun accordo in ordine:

  • né alle finalità e ai mezzi del trattamento dei dati personali,
  • né alle condizioni relative alla contitolarità del trattamento.

Infine, tornando sul concetto di dolo o colpa della condotta quale presupposto della sanzione amministrativa GDPR, la Corte ha chiarito che la persona giuridica, titolare del trattamento, in via generale debba ritenersi responsabile in relazione a operazioni di trattamento di dati personali effettuate per suo conto da un responsabile del trattamento.

Non risponde, per contro, nell’ipotesi in cui tale responsabile abbia:

  • effettuato trattamenti per finalità che gli sono proprie o
  • abbia trattato tali dati:
    • in modo incompatibile con il quadro o le modalità del trattamento quali erano stati determinati dal titolare del trattamento o
    • in modo tale che non si può ragionevolmente ritenere che tale titolare abbia a ciò acconsentito.
Di cosa si parla in questo articolo

WEBINAR / 7 novembre
Finanza sostenibile e servizi di investimento: novità regolamentari


Indicazioni Consob, evoluzioni del contesto regolamentare UE e di revisione SFDR

ZOOM MEETING
Offerte per iscrizioni entro il 17/10


WEBINAR / 25 Ottobre
La gestione degli incidenti ICT nel contesto DORA


Gli obblighi di classificazione e segnalazione degli incidenti ICT e di programmazione dei test di resilienza operativa digitale

ZOOM MEETING
Offerte per iscrizioni entro il 04/10

Iscriviti alla nostra Newsletter