In data 5 dicembre 2023, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-807/21, Deutsche Wohnen SEcontro Staatsanwaltschaft Berlin, sull’interpretazione dell’articolo 83, paragrafi da 4 a 6, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di una controversia tra la Deutsche Wohnen SE (DW) e la Staatsanwaltschaft Berlin (procura di Berlino) in merito ad una sanzione amministrativa pecuniaria inflitta da quest’ultima.
Questi i fatti.
Nell’ambito di un’ispezione in loco, la Berliner Beauftragte für den Datenschutz (autorità di controllo di Berlino) aveva attirato l’attenzione della DW sul fatto che le società del suo gruppo[2] conservavano documenti contenenti dati personali dei locatari in un sistema di archiviazione elettronica, che non consentiva di verificare se la conservazione fosse necessaria e di garantire che i dati non più necessari fossero cancellati. Di conseguenza, l’autorità di controllo aveva chiesto alla DW di sopprimere tali documenti dal suo sistema di archiviazione elettronica entro la fine del 2017. Dopo aver dichiarato che la soppressione non era possibile per ragioni tecniche e giuridiche, la DW aveva informato tale autorità del suo intento di creare un nuovo sistema di archiviazione in sostituzione di quello che conteneva i suddetti documenti. In data 30 ottobre 2019, tuttavia, quest’ultima aveva inflitto alla DW diverse sanzioni pecuniarie per aver dolosamente omesso, tra il 25 maggio 2018 e il 5 marzo 2019, di adottare le misure necessarie per consentire la regolare cancellazione dei dati personali relativi ai locatari non più necessari o che, per altri motivi, erano stati erroneamente conservati.
Di conseguenza, la DW aveva proposto ricorso dinanzi al Landgericht Berlin (Tribunale del Land di Berlino), che aveva archiviato il procedimento ritenendo che la decisione dell’autorità di controllo fosse affetta da vizi talmente gravi da non poter costituire il fondamento per l’applicazione di una sanzione pecuniaria. La procura di Berlino, pertanto, si era rivolta al Kammergericht Berlin(Tribunale superiore del Land di Berlino; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia due questioni pregiudiziali.
Con la prima questione, il giudice del rinvio chiedeva se l’articolo 58, paragrafo 2[3], e l’articolo 83, paragrafi da 1 a 6[4], del GDPR debbano essere interpretati nel senso che essi ostano ad una normativa nazionale in forza della quale una sanzione amministrativa pecuniaria può essere inflitta ad una persona giuridica, nella sua qualità di titolare del trattamento, per una violazione di cui ai paragrafi da 4 a 6 di tale articolo 83 solo a condizione che essa sia stata previamente imputata ad una persona fisica identificata.
La Corte ha preliminarmente ricordato che il legislatore dell’Unione non ha operato una distinzione tra persone fisiche e giuridiche ai fini della determinazione della responsabilità ai sensi del GDPR; quest’ultima, infatti, è subordinata all’unica condizione che queste, da sole o insieme ad altri, determinino le finalità e gli strumenti del trattamento di dati personali. Di conseguenza, ogni persona che soddisfi tale condizione, indipendentemente dal fatto che si tratti di una persona fisica o giuridica, di un’autorità pubblica, di un servizio o di un altro organismo, è responsabile, in particolare, per qualsiasi violazione di cui all’articolo 83, paragrafi da 4 a 6, del GDPR commessa dalla stessa o per suo conto.
Per quanto riguarda le persone giuridiche, ciò implica, da un lato, che queste ultime sono responsabili non solo delle violazioni commesse dai loro rappresentanti, dirigenti o amministratori, e bensì anche da qualsiasi altra persona che agisca nell’ambito delle loro attività commerciali e per loro conto e, dall’altro, che le sanzioni amministrative pecuniarie previste dall’articolo 83 del GDPR devono poter essere inflitte direttamente alle persone giuridiche ove queste possano essere qualificate come titolari del trattamento in questione. Una sanzione amministrativa pecuniaria per una violazione di cui all’articolo 83, paragrafi da 4 a 6, del GDPR, pertanto, può essere inflitta anche a persone giuridiche qualora queste abbiano la qualità di titolari del trattamento mentre, per contro, nessuna disposizione di tale regolamento consente di ritenere che l’irrogazione di una sanzione amministrativa pecuniaria ad una persona giuridica, in quanto titolare del trattamento, sia subordinata alla previa constatazione che la violazione in questione sia stata commessa da una persona fisica identificata.
Con la seconda questione, invece, il giudice del rinvio chiedeva se l’articolo 83 del GDPR debba essere interpretato nel senso che una sanzione amministrativa pecuniaria può essere inflitta ai sensi di tale disposizione solo qualora venga accertato che il titolare del trattamento, che sia al contempo una persona giuridica e un’impresa, ha commesso, con dolo o colpa, una violazione di cui ai paragrafi da 4 a 6 di tale articolo.
La Corte ha preliminarmente ricordato che le condizioni sostanziali che un’autorità di controllo deve rispettare nell’infliggere una sanzione amministrativa pecuniaria ad un titolare del trattamento rientrano unicamente nel diritto dell’Unione e sono fissate, con precisione e senza lasciare agli Stati Membri alcun margine di discrezionalità, all’articolo 83 del GDPR[5]. Nello specifico, tra gli elementi in base ai quali l’autorità di controllo applica una sanzione amministrativa pecuniaria al titolare del trattamento rientra, in particolare, il carattere doloso o colposo della violazione, mentre invece non è prevista la possibilità di considerare il titolare del trattamento responsabile in assenza di un suo comportamento colpevole. Di conseguenza, solo le violazioni delle disposizioni del GDPR commesse in modo illecito dal titolare del trattamento, ossia quelle commesse con dolo o colpa, possono comportare l’imposizione di una sanzione amministrativa pecuniaria nei confronti di quest’ultimo ai sensi dell’articolo 83.
A tale riguardo, un titolare del trattamento può essere sanzionato per un comportamento ricadente nell’ambito di applicazione del GDPR qualora egli non potesse ignorare il carattere illecito del proprio comportamento, a prescindere dalla sua consapevolezza di violare le disposizioni del regolamento[6]. Quando il titolare del trattamento è una persona giuridica, inoltre, l’applicazione dell’articolo 83 del GDPR non presuppone l’azione o quanto meno la consapevolezza da parte dell’organo di gestione di quest’ultima[7].
Tutto ciò premesso, la Corte ha pertanto statuito che:
“L’articolo 58, paragrafo 2, lettera i), e l’articolo 83, paragrafi da 1 a 6, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), devono essere interpretati nel senso che essi ostano a una normativa nazionale in forza della quale una sanzione amministrativa pecuniaria può essere inflitta a una persona giuridica, nella sua qualità di titolare del trattamento, per una violazione di cui ai paragrafi da 4 a 6 di tale articolo 83 solo a condizione che tale violazione sia stata previamente imputata a una persona fisica identificata.
L’articolo 83 del regolamento 2016/679 deve essere interpretato nel senso che una sanzione amministrativa pecuniaria può essere inflitta ai sensi di tale disposizione solo qualora venga accertato che il titolare del trattamento, che sia al contempo una persona giuridica e un’impresa, ha commesso, con dolo o colpa, una violazione di cui ai paragrafi da 4 a 6 di tale articolo”.
[1] GUUE L 119 del 04.05.2016.
[2] La DW è una società immobiliare quotata in borsa e con sede sociale a Berlino che detiene indirettamente, tramite partecipazioni in diverse società, diverse unità abitative e commerciali. I proprietari di tali unità sono società controllate della DW che gestiscono le attività operative, mentre l’attività della DW si incentra sulla direzione generale del gruppo che essa costituisce in particolare con queste. Le società proprietarie danno in locazione le unità commerciali e abitative, la cui gestione è assicurata da altre società di tale gruppo (c.d. “società di servizi”).
[3] L’articolo 58 GDPR, intitolato “Poteri”, al paragrafo 2 lettera i) dispone: “… Ogni autorità di controllo ha tutti i poteri correttivi seguenti:
(…)
i) infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso…”.
[4] L’articolo 83 GDPR, intitolato “Condizioni generali per infliggere sanzioni amministrative pecuniarie”, ai paragrafi 1-6 dispone: “… Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive.
Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all’articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:
a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
b) il carattere doloso o colposo della violazione;
c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
f) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
g) le categorie di dati personali interessate dalla violazione;
h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
i) qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
j) l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42; e
k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.
Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave.
In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:
a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;
b) gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
c) gli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.
In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:
a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
b) i diritti degli interessati a norma degli articoli da 12 a 22;
c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.
In conformità del paragrafo 2 del presente articolo, l’inosservanza di un ordine da parte dell’autorità di controllo di cui all’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore…”.
[5] CGUE 0512.2023, Causa C‑683/21, Nacionalinis visuomenės sveikatos centras, punti 64-70.
[6] CGUE 25.03.2021, Causa C‑601/16 P, Arrow Group e Arrow Generics/Commissione, punto 97; CGUE 25.03.2021, Causa C‑591/16 P,Lundbeck/Commissione, punto 156; CGUE 18.06.2013, Causa C‑681/11, Schenker & Co. e a., punto 37.
[7] CGUE 16.02.2017, Causa C‑94/15 P, Tudapetrol Mineralölerzeugnisse Nils Hansen/Commissione, punto 28; CGUE 07.06.1983, Cause riunite da 100/80 a 103/80, Musique Diffusion française e a./Commissione, punto 97.