La Corte di Giustizia, con sentenze del 5 dicembre scorso, pronunciata nelle cause C-807/21, Deutsche Wohnen, e C-683/21, Nacionalinis visuomenės sveikatos centras, ha fornito importanti precisazioni in ordine all’applicabilità di sanzioni amministrative per violazione di norme del Regolamento GDPR nei confronti di persone giuridiche che siano titolari del trattamento.
Più in particolare, la Corte ha analizzato la duplice ipotesi in cui le sanzioni GDPR siano comminate alla persona giuridica titolare del trattamento:
- per violazione (“interna”) commessa da un suo organo interno
- per violazione (“esterna”) attribuibile ad una terza persona giuridica
Sanzioni GDPR per violazione “interna”
Con riferimento alla violazione “interna”, nella sentenza C 807/21, la Corte di giustizia UE ha precisato come non possa essere esclusa la sanzionabilità della persona giuridica, nella sua qualità di titolare del trattamento, per il sol fatto che la violazione non sia imputabile ad una persona fisica identificata.
Diversamente, precisa la Corte, le sanzione amministrativa può essere inflitta laddove venga accertato che la persona giuridica, titolare del trattamento, abbia commesso, con dolo o colpa, la violazione.
Sanzionabilità per violazione “esterna”
Per quanto riguarda la violazione “esterna”, con la sentenza C-683/21, la Corte di giustizia UE riconosce quale titolare del trattamento la persona giuridica che abbia incaricato un’impresa terza del trattamento di dati personali, laddove abbia comunque partecipato alla determinazione delle finalità e dei mezzi del trattamento stesso.
In tale ipotesi, la persona giuridica si qualifica titolare del trattamento anche qualora:
- non abbia effettuato essa stessa operazioni di trattamento di tali dati, o
- non abbia dato esplicitamente consenso al loro trattamento.
A contrario, non si qualifica titolare del trattamento la stessa persona giuridica che si sia espressamente opposta al trattamento dei dati personali che ne è derivato.
Nel caso di specie, il trattamento dei dati da parte dell’impresa terza era correlato alla realizzazione di un’applicazione, destinata poi al pubblico, che comportasse trattamento di dati personali.
Per quanto riguarda inoltre la contitolarità del trattamento in capo ai due enti, la Corte precisa come questa non presupponga alcun accordo in ordine:
- né alle finalità e ai mezzi del trattamento dei dati personali,
- né alle condizioni relative alla contitolarità del trattamento.
Infine, tornando sul concetto di dolo o colpa della condotta quale presupposto della sanzione amministrativa GDPR, la Corte ha chiarito che la persona giuridica, titolare del trattamento, in via generale debba ritenersi responsabile in relazione a operazioni di trattamento di dati personali effettuate per suo conto da un responsabile del trattamento.
Non risponde, per contro, nell’ipotesi in cui tale responsabile abbia:
- effettuato trattamenti per finalità che gli sono proprie o
- abbia trattato tali dati:
- in modo incompatibile con il quadro o le modalità del trattamento quali erano stati determinati dal titolare del trattamento o
- in modo tale che non si può ragionevolmente ritenere che tale titolare abbia a ciò acconsentito.