La Cassazione Civile enfatizza, a chiare lettere, l’importanza delle sanzioni nella loro portata definitoria di cui all’art. 83 GDPR. Nel farlo, delinea i tre parametri essenziali: rilevanza, effettività e proporzionalità.
Vediamo la decisione nel dettaglio contestualizzandola anche alla luce dell’impatto con le Linee Guida 4/2022 dell’EDPB sul calcolo, per le Autorità, delle sanzioni amministrative pecuniarie.
Paramentri delle sanzioni GDPR: il caso
Il caso arrivato in Cassazione trae origine da un provvedimento il n. 243 del 10 giugno 2021 con cui l’Autorità Garante per la protezione dei dati ha sanzionato una primaria società nel settore del food per aver commesso una serie di violazioni nel trattamento dei dati personali e in particolare nei confronti dei cd rider cioè quei lavoratori dedicati alla consegna, a seguito di ordini di cibo o altri beni effettuati dai clienti.
Sei sicuro della conformità ESG dei tuoi prodotti? Elimina ogni dubbio scaricando l'eBook!
Il precedente
Il precedente già allora era risultato rilevante in considerazione, da un lato dell’importo sanzionatorio inflitto pari a 2,6 milioni di euro alla società controllata da Glovo e, dall’altro perché era la prima decisione riguardante i rider e la loro modalità di gestione e per l’effetto il Garante aveva imposto alla medesima società di dover modificare il trattamento dei dati effettuato tramite l’utilizzo della piattaforma digitale, previa verifica che gli algoritmi di prenotazione/assegnazione circa gli ordini di cibo/prodotti non determinassero discriminazioni.
Insomma, uno dei primi provvedimenti contro il sistema delle decisioni automatizzate, compresa la profilazione.
Non solo, ricordiamo anche che la società non aveva, tra gli altri, nemmeno informato in modo adeguato i lavoratori circa il funzionamento del sistema senza garantire “l’esattezza e la correttezza dei risultati dei sistemi algoritmici” adoperati per la valutazione dei rider.
Da qui le molteplici violazioni e così l’ammontare elevato della sanzione.
L’opposizione al provvedimento e la sentenza di merito milanese
Avverso al provvedimento sanzionatorio, la nota società del food pesantemente sanzionata proponeva ricorso al tribunale di Milano che, di tutta risposta, lo annullava per eccessività della sanzione inflitta.
Nel merito, il giudice milanese affermava testualmente che “la decisione del Garante, per quanto astrattamente legittima sotto il profilo della possibilità di intervento nei confronti di una società italiana interamente controllata da altro ente collettivo […], esseno la società italiana un soggetto distinto dal gruppo e operante nel territorio nazionale, non lo era tuttavia sul piano della sanzione”. In pratica, svolge o meglio accoglie un’eccezione preliminare se non anche pregiudiziale (per quanto non ci sia dato saperlo non avendo a disposizione la sentenza del Giudice di prime cure, se non per estratto, ricavandola dal testo dell’Ordinanza).
Per poi proseguire con una motivazione tutta verosimilmente orientata sulla sproporzione della sanzione amministrativa inflitta e così argomentando sulle disattese condizioni economiche della società coinvolta, senza badare “…ai ricavi conseguiti dalla società con riferimento al bilancio d’esercizio per l’anno 2019 (chiuso con perdite di esercizio)” e così quantificando la sanzione in ragione della violazione più grave come previsto dall’art. 83, par. 5, lett. a) del GDPR “…in una misura decisamente superiore al parametro del 4%” nonché “…maggiore rispetto alla percentuale media (0,0019%)” che il Garante avrebbe applicato ad altri soggetti contravventori/sanzionati.
Perciò il giudice milanese decideva di annullare tout court il provvedimento amministrativo.
Il ricorso in Cassazione
Avverso alla sentenza milanese la nostra Autorità Garante Privacy proponeva ricorso per cassazione deducendo tre motivi, e nella fattispecie:
- la violazione o falsa applicazione degli artt. 83 del GDPR in combinato disposto con l’art. 166 del Cod. Privacy circa la presunta ed affermata eccessività della sanzione (primo motivo);
- l’omesso esame di fatto decisivo circa il metodo di calcolo della sanzione (secondo motivo);
- la violazione o falsa applicazione degli artt. 6 e 10 del D.lgs. n. 150 del 2011 e 166 del Cod. Privacy, dal momento che anche in materia di dati personali, il giudice è tenuto “a quantificare la sanzione secondo le (ritenute) previsioni di legge, ed eventualmente a rideterminarla in base alla effettiva gravità dei fatti” (terzo motivo).
La società controricorrente replicava con controricorso e ricorso incidentale condizionato. In pratica, essa ha resistito alle doglianze presentate dal Garante e in più ha proposto un ricorso cd incidentale sollevando, a sua volta, tre motivi sostanzialmente incentrati sulla questione inerente al trattamento transfrontaliero di dati personali. Più nello specifico, la tesi (del ricorso incidentale) si basava sul fatto che la società controllante poiché aveva sede in un territorio extra UE, effettuava un trattamento di dati all’estero. Il profilo della natura transfrontaliera del trattamento dei dati dei rider doveva ravvisarsi a seguito dell’uso/presenza della piattaforma con server fuori Italia; e da qui il presunto impedimento al nostro Garante di intervenire, essendo la capogruppo una società spagnola soggetta all’Autorità garante di quello Stato (AEPD).
In ogni caso, argomenta la Cassazione nell’ordinanza in parola che “anche a fronte di un trattamento di dati mediante piattaforma, possono (e anzi debbono) esser mantenuti distinti i trattamenti posti in essere da una società italiana operante nel territorio nazionale, con propria autonomia di struttura e di negoziazione, rispetto a quelli posti in essere da un’entità sovranazionale capogruppo”.
Da qui, il richiamo agli altri temi come la “cooperazione tra autorità di controllo” e “il concetto di stabilimento”. Tutti assunti poi respinti o meglio considerati inammissibili dalla Suprema Corte poiché nemmeno assistiti “dal necessario livello di autosufficienza a proposito di ciò che era stato in effetti dedotto a suo sostegno sul piano probatorio” come si legge espressamente nella decisione.
I principi di diritto più importanti in materia di regime sanzionatorio
La motivazione della ordinanza merita una particolare attenzione poiché detta principi di diritto che, in materia di apparato sanzionatorio, è ragionevole pensare che faranno scuola.
Il criterio del “in ogni singolo caso”: sanzioni effettive, proporzionate e dissuasive
Il primo principio che la Cassazione tiene a statuire è il criterio, conformemente all’art. 83 del GDPR, della rilevanza del singolo caso dovendo l’Autorità provvedere affinché le sanzioni irrogate per le violazioni del GDPR siano “in ogni singolo caso” effettive, proporzionate e dissuasive.
In altri termini, la Corte ha voluto enfatizzare questo aspetto ricordando che una delle novità più importanti del GDPR è proprio data da una “maggiore accuratezza del sistema sanzionatorio” che, grazie ai criteri imposti dall’art. 83 , ne ha limitato ogni sorta di valutazione discrezionale da parte delle singole Autorità Garanti circa la determinazione della sanzione da irrogare in concreto.
Il criterio della proporzionalità
Il secondo principio che segue a ruota, risiede nel parametro della proporzionalità richiamando sempre l’art 83 nei rispettivi paragrafi 4 e 5 e relativi scaglioni: “fino a 10.000.000 EUR o fino a 20.000.000,0 EUR” a seconda che la violazione rientri tra quelle di cui al par 4 più blande (a titolo esemplificativo ma non esaustivo e una per tutte, il non aver adempiuto ove necessario alla privacy by design – art. 25), ovvero tra una di quelle enumerate al par. 5 (a titolo esemplificativo ma non esaustivo e una per tutte non aver adempiuto ai diritti degli interessati dall’informativa a seguire – artt. 13 e ss).
Al riguardo, la Cassazione fa una precisazione importante dicendo che “…il riferimento alla sanzione proporzionale non è posto dal GDPR in funzione mitigatoria del limite edittale stabilito con la sanzione variabile ordinaria, ma rappresenta un limite edittale ulteriore e distinto, al quale occorre riferirsi solo se superiore (esso in quanto tale) al massimo della sanzione suddetta”.
In pratica, la Cassazione nell’accogliere interamente i motivi dedotti dal Garante ribadisce a chiare lettere che “è onere dell’Autorità di controllo provvedere all’irrogazione di una sanzione amministrativa pecuniaria per violazione dei dati personali sulla regola della proporzionalità sempre rispetto al singolo caso e richiamando la fattispecie normativa di cui all’art. 83 richiama le due regole basiche fissate a proposito dal GDPR e cioè il “fino a 10.000.000 euro o per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore; fino a 20.000.000 euro o per le imprese fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore”.
Si tratta di sanzioni alternative, “l’una principale, stabilita in valore variabile tra un minimo e un massimo, e l’altra, subordinata, stabilita in valore proporzionale all’ammontare del fatturato annuo” come puntualmente precisa la Cassazione.
Gli altri dettami
Per completezza, segnaliamo ancora che nel dettare i vari principi la Cassazione nell’ordinanza in questione si preoccupa anche di stabilire che “anche in materia sanzioni amministrative per violazione delle norme relative ai dati personali […] e anche nelle controversie in materia di dati personali, il Giudice può annullare in tutto o in parte il provvedimento o modificarlo anche limitatamente all’entità della sanzione dovuta, che è determinata in una misura in ogni caso non inferiore al minimo edittale” Quindi male ha fatto il tribunale milanese a non ri-quantificare comunque l’importo.
Non solo, gli Ermellini nell’invocare l’art. 55 del GDPR stabiliscono che “…l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare e del trattamento o responsabile del trattamento è competente ad agire […] in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento”.
Da ultimo, la Cassazione stabilisce che ai fini del GDPR, qualora ci si trovi o meno dinanzi a un “trattamento eterodiretto da una capofila estera” questo “implica un accertamento di merito, così come accade per tutti gli accertamenti sulla titolarità del trattamento dei dati”; per concludere con il concetto di “stabilimento principale”, e “con quale livello di autonomia decisionale il titolare di un trattamento possa concretamente aver operato rispetto alle modalità incise dal funzionamento di una piattaforma informatica; e ove si discuta del trattamenti dei dati di rider operanti in Italia un tale accertamento presuppone di valutare gli elementi dei singoli contratti stipulati, nei quali ordinariamente sono definiti anche (e proprio) le modalità e le regole a cui soggiacciono i trattamenti stessi”.
A fronte di questi motivi e principi, ecco perché si può parlare di decisione storica.
I parametri sanzionatori
Più in generale, ricordiamo che il GDPR impone al paragrafo 2 dell’art. 83 alcuni specifici elementi, e in particolare:
- la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
- il carattere doloso o colposo della violazione;
- le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
- il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli artt. 25 e 32;
- eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
- il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
- le categorie di dati personali interessate dalla violazione;
- la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
- qualora siano stati precedentemente disposti provvedimenti;
- l’adesione ai codici di condotta approvati o ai meccanismi di certificazione;
- eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso.
Si tratta di criteri tutti che le singole Autorità sono tenute a valutare, caso per caso, prima di infliggere una sanzione.
I punti salienti di un’ordinanza storica
L’Ordinanza fin qui esaminata è degna di nota per svariati motivi.
Innanzitutto, perché per la prima volta il Giudice di legittimità ha enfatizzato l’importanza del GDPR nella definizione delle sanzioni, richiamandosi ai criteri di rilevanza, effettività e proporzionalità.
Poi perché ha chiarito che un “giudice può annullare, modificare e rideterminare in tutto o in parte l’entità della sanzione inflitta, tenuto conto della specificità ed effettività del singolo caso concreto”.
E, infine, nel dettare i principi, in definitiva la Corte afferma che:
- il GDPR all’art. 83 stabilisce le condizioni generali per comminare le sanzioni amministrative di natura pecuniaria in base a criteri di specificità, effettività e proporzionalità in relazione al singolo caso concreto;
- l’importo totale della sanzione comminata non può superare l’importo specificato per la violazione più grave;
- il giudice, anche nelle controversie in materia di protezione dati personali, è legittimato ad annullare, in tutto o in parte, il provvedimento ovvero a modificarlo anche limitatamente all’entità della sanzione dovuta, purché in misura non inferiore al minimo edittale.
L’impatto con le Linee Guida EDPB sul calcolo delle sanzioni GDPR
In conclusione, chiediamoci come a questo punto impattano e si conciliano le Linee Guida 4/2022 rammentando, al riguardo, lo scorso 24 maggio 2023 l’EDPB ha definitivamente adottato le Linee Guida 4/2022 volendo fornire una base lineare, chiara e trasparente per il calcolo delle sanzioni per le violazioni del GDPR.
Si tratta di Linee guida da considerarsi complementari alle Linee Guida WP253 soffermandosi sulle circostanze per le quali una sanzione amministrative sia lo “strumento di rigore” più appropriato messo a disposizione delle Autorità Garanti.
Senza poterci dilungare oltremodo su questo aspetto, merita da ultimo richiamare la metodologia definita dall’EDPB, e articolata in cinque step che le Autorità Garanti dovrebbero seguire in occasione del calcolo delle sanzioni:
- valutare se la fattispecie rappresenti una o più condotte sanzionabili e se ciascuna condotta dia luogo a una o più violazioni;
- definire l’importo base della sanzione partendo in primo luogo dal criterio del livello di gravità della violazione, in base alle previsioni di cui all’art. 83.2 del GDPR;
- il fatturato e in particolare vengono definite sette classi di fatturato, fra cui la più bassa è quella di un fatturato fra 0 – 2 mln di euro a quella più alta per un fatturato superiore a 500 mln di euro e da qui gli abbattimenti vari rispetto all’importo base della sanzione;
- verificare se applicabili possibili aggravanti o attenuanti (secondo le indicazioni dell’art. 83.2 del GDPR) ai fini della revisione dell’importo;
- determinare il massimale legale applicabile per il calcolo della sanzione nonché vagliare se l’importo calcolato soddisfi i requisiti di effettività, proporzionalità (ai fini della sua sostenibilità per il soggetto interessato alla luce anche delle connotazioni del contesto socioeconomico di riferimento) e dissuasione o se siano necessari ulteriori adeguamenti dell’importo della sanzione, che non potrà comunque superare il massimale legale applicabile.
Si tratta, tuttavia, di calcoli teorici nei confronti dei quali la variabile “fatturato” può influenzare di molto il risultato finale.
Conclusioni
La decisione della Cassazione Civile quindi si va a collocare in un contesto ben più ampio nel quale l’accento dalla medesima posto sulla necessità di valutare con attenzione la rilevanza, l’effettività e la proporzionalità delle sanzioni in base alle circostanze specifiche di ciascun caso, è ancora più dirimente e sempre lo sarà.
La Top 5 delle minacce informatiche e come contrastarle
@RIPRODUZIONE RISERVATA