La Cassazione impone parametri di rilevanza, effettività e proporzionalità per le sanzioni del GDPR
Con ordinanza n. 27189 del 22 settembre 2023, la Cassazione ha riconosciuto la centralità del GDPR nella quantificazione delle sanzioni per violazione delle leggi a tutela della protezione dei dati personali.
L’ordinanza è stata emanata a seguito di un ricorso del Garante per la protezione dei dati personali avverso una sentenza del Tribunale di Milano che aveva annullato una sanzione amministrativa irrogata dal Garante per violazione della normativa in materia di privacy. Secondo il Tribunale, la sanzione sarebbe stata eccessiva rispetto alla possibilità di legge, poiché stabilita in misura pari al 7,29% del fatturato annuale mondiale della società sanzionata, a fronte del parametro del 4% menzionato dalla citata norma; e, inoltre, superiore alla percentuale media (0,0019%) applicata dal medesimo Garante ad altri soggetti sanzionati Il Tribunale aveva inoltre ritenuto di non poter rideterminare esso stesso la sanzione.
Il Garante ha proposto ricorso dinanzi la Suprema Corte sulla base di tre motivi: in primis, per violazione e falsa applicazione degli artt. 83 GDPR e 166 Codice della privacy, essendo stata la sanzione irrogata nella misura consentita, tenuto conto degli elementi valutativi di cui agli articoli menzionati. In secundis, per omesso esame di fatto decisivo, in relazione al metodo di calcolo della sanzione. Infine, per la violazione e falsa applicazione degli artt. 6 e 10 D.lgs. 150/2011 e 166 Codice Privacy, essendo il giudice in ogni caso tenuto, anche in materia di protezione dei dati personali, alla quantificazione della sanzione ed eventualmente alla rideterminazione della stessa, secondo prescrizioni di legge e in base all’effettiva gravità dei fatti.
La società ha proposto controricorso basato su tre motivi di ricorso incidentale.
La Cassazione ha accolto il primo e il terzo motivo del ricorso principale, dichiarato assorbito il secondo, inammissibile il ricorso incidentale e cassato la sentenza.
La Cassazione ha motivato rilevando, innanzitutto, che integra una violazione del Regolamento l’affermazione del Tribunale che la sanzione sarebbe illegittima solo perché superiore alla percentuale media (di fatturato annuo del soggetto colpito dal provvedimento sanzionatorio) apposta in altri casi: al più, questo potrebbe essere un indicatore di ipotetica sproporzione, ma in ogni caso da rapportare al caso singolo.
Per ciò che concerne, invece, la pretesa violazione del limite edittale, la Cassazione ha osservato che il GDPR, ai par. 4 e 5 dell’art. 83, definisce i parametri a mezzo dei quali determinare la sanzione amministrativa: fino a 10.000.000 € (o 20.000.000 €) o, per le imprese, fino al 2% (o 4%) del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Il riferimento alla percentuale del fatturato non ha funzione mitigatoria del limite edittale, come aveva ritenuto il Tribunale, operando invece come ulteriore limite edittale della sanzione alternativa a fronte del massimo di quella ordinaria di 20.000.000 €, in altre parole opera solo se determina un importo sanzionatorio superiore al primo.
Con riferimento al terzo motivo, la Suprema Corte ha rilevato che, per effetto del coordinamento dell’art. 166 del Codice della privacy con gli artt. 6 e 10 del D.lgs. 150/2011, con la sentenza che accoglie l'opposizione, il giudice, anche nelle controversie in materia di dati personali, può annullare in tutto o in parte il provvedimento, o modificarlo anche limitatamente all'entità della sanzione dovuta.