In data 13 febbraio 2025, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-383/23, ILVA A/S,sull’interpretazione dell’articolo 83, paragrafi da 4 a 6, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di un procedimento penale avviato dall’Anklagemyndigheden (pubblico ministero danese) nei confronti dell’ILVA A/S (“ILVA”), una società che gestisce una catena di negozi di mobili e fa parte del Lars Larsen Group, per asserite violazioni degli obblighi ad essa incombenti in forza del GDPR.
Più particolarmente, l’ILVA era imputata in un procedimento dinanzi ai giudici danesi per essere venuta meno, nel periodo tra maggio 2018 e gennaio 2019, agli obblighi ad essa incombenti nella sua qualità di titolare del trattamento dei dati personali nell’ambito della conservazione dei dati di almeno 350 000 ex clienti. Su raccomandazione del Datatilsynet (Autorità danese per la protezione dei dati), pertanto, il pubblico ministero aveva chiesto di imporre all’ILVA una sanzione pecuniaria pari a circa 201.000 euro, il cui importo era basato non solo sul suo fatturato, e bensì anche su quello complessivo del Lars Larsen Group.
In data 12 febbraio 2021, il retten i Aarhus (Tribunale di Aarhus) aveva dichiarato l’ILVA colpevole dei fatti che le erano stati contestati e l’aveva condannata al pagamento di una sanzione pecuniaria pari a circa 13.400 euro, ritenendo che essa avesse agito per negligenza, contrariamente a quanto sostenuto dal pubblico ministero. Quest’ultimo, pertanto, aveva proposto appello dinanzi al Vestre Landsret (Corte regionale dell’Ovest; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di chiedere alla Corte di Giustizia se l’articolo 83, paragrafi da 4 a 6[2], del GDPR, letto alla luce del suo considerando 150[3], debba essere interpretato nel senso che il termine “impresa”, di cui a tali disposizioni, corrisponde alla nozione di “impresa” ai sensi degli articoli 101 e 102 del Trattato sul Funzionamento dell’Unione Europea (TFUE) cosicché, nel caso in cui sia inflitta una sanzione pecuniaria per violazione del GDPR ad un titolare del trattamento di dati personali, che è o fa parte di un’impresa, l’importo della sanzione pecuniaria è determinato sulla base di una percentuale del fatturato mondiale totale annuo dell’esercizio precedente dell’impresa, ai sensi di tali articoli 101 e 102.
La Corte ha preliminarmente ricordato che la nozione di “impresa” ai sensi degli articoli 101 e 102 TFUE non incide sulla questione se e a quali condizioni una sanzione amministrativa pecuniaria possa essere inflitta ai sensi dell’articolo 83 del RGPD ad un titolare del trattamento che sia una persona giuridica[4], assumendo rilievo solo in sede di determinazione del suo importo ai sensi dei paragrafi da 4 a 6 di quest’ultimo[5]. Ai fini dell’applicazione delle norme in materia di concorrenza di cui agli articoli 101 e 102 TFUE, infatti, tale nozione comprende qualsiasi ente che eserciti un’attività economica, a prescindere dal suo status giuridico e dalle sue modalità di finanziamento. Di conseguenza, essa si riferisce ad un’unità economica anche qualora, sotto il profilo giuridico, quest’ultima sia costituita da più persone fisiche o giuridiche, consistendo in un’organizzazione unitaria di elementi personali, materiali e immateriali che persegue stabilmente un determinato fine di natura economica[6]. Dall’articolo 83, paragrafi da 4 a 6, del GDPR, pertanto, risulta che, nel caso in cui il destinatario della sanzione amministrativa pecuniaria sia o faccia parte di un’impresa ai sensi degli articoli 101 e 102 TFUE, l’importo massimo della sanzione amministrativa pecuniaria è calcolato sulla base di una percentuale del fatturato mondiale totale annuo dell’esercizio precedente dell’impresa interessata[7].
La determinazione di tale importo massimo, tuttavia, deve essere distinta dal calcolo stesso dell’importo di una sanzione pecuniaria che l’autorità di controllo competente deve infliggere per la o le violazioni specifiche del GDPR che tale sanzione pecuniaria punisce. Più particolarmente, ciascuna autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte in forza dell’articolo 83 per le violazioni del GDPR di cui ai paragrafi da 4 a 6 di quest’ultimo siano, in ciascun caso, effettive, proporzionate e dissuasive. Oltre al rispetto di queste tre condizioni, inoltre, l’autorità di controllo competente, al fine di decidere se infliggere una sanzione amministrativa pecuniaria e fissarne l’importo, deve tenere debitamente conto, in ciascun caso concreto, di un certo numero di elementi quali, tra gli altri, la natura, la gravità e la durata della violazione, il suo carattere doloso o colposo nonché il numero di interessati lesi dal danno. Sebbene tali elementi non facciano riferimento alla nozione di impresa ai sensi degli articoli 101 e 102 TFUE, solo una sanzione pecuniaria che tiene conto non solo di tutti gli elementi che caratterizzano in tal modo le violazioni constatate del GDPR, e bensì anche, se del caso, della capacità economica reale o materiale del suo destinatario può essere allo stesso tempo effettiva, proporzionata e dissuasiva. Di conseguenza, per valutare tali condizioni, occorre tener conto della questione se tale destinatario faccia parte di un’impresa ai sensi degli articoli 101 e 102 TFUE[8].
Tutto ciò premesso, la Corte ha pertanto statuito che:
“L’articolo 83, paragrafi da 4 a 6, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), letto alla luce del considerando 150 di tale regolamento, deve essere interpretato nel senso che il termine «impresa», di cui a tali disposizioni, corrisponde alla nozione di «impresa», ai sensi degli articoli 101 e 102 TFUE, cosicché, quando viene inflitta una sanzione pecuniaria per violazione del regolamento 2016/679 a un titolare del trattamento di dati personali, che è o fa parte di un’impresa, l’importo massimo della sanzione pecuniaria è determinato sulla base di una percentuale del fatturato mondiale totale annuo dell’esercizio precedente dell’impresa. La nozione di «impresa» deve altresì essere presa in considerazione per valutare la capacità economica reale o materiale del destinatario della sanzione pecuniaria e verificare così se la sanzione pecuniaria sia al contempo effettiva, proporzionata e dissuasiva”.
[1] GUUE L 119 del 04.05.2016.
[2] L’articolo 83 GDPR, intitolato “Condizioni generali per infliggere sanzioni amministrative pecuniarie”, ai paragrafi 4-6 dispone: “… In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;
b) gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
c) gli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4;
In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:
a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
b) i diritti degli interessati a norma degli articoli da 12 a 22;
c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.
In conformità del paragrafo 2 del presente articolo, l’inosservanza di un ordine da parte dell’autorità di controllo di cui all’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore…”.
[3] Il considerando 150 GDPR dispone: “… Al fine di rafforzare e armonizzare le sanzioni amministrative applicabili per violazione del presente regolamento, ogni autorità di controllo dovrebbe poter imporre sanzioni amministrative pecuniarie. Il presente regolamento dovrebbe specificare le violazioni, indicare il limite massimo e i criteri per prevedere la relativa sanzione amministrativa pecuniaria, che dovrebbe essere stabilita dall’autorità di controllo competente in ogni singolo caso, tenuto conto di tutte le circostanze pertinenti della situazione specifica, in particolare della natura, gravità e durata dell’infrazione e delle relative conseguenze, nonché delle misure adottate per assicurare la conformità agli obblighi derivanti dal presente regolamento e prevenire o attenuare le conseguenze della violazione. Se le sanzioni amministrative sono inflitte a imprese, le imprese dovrebbero essere intese quali definite agli articoli 101 e 102 TFUE a tali fini. Se le sanzioni amministrative sono inflitte a persone che non sono imprese, l’autorità di controllo dovrebbe tenere conto del livello generale di reddito nello Stato membro come pure della situazione economica della persona nel valutare l’importo appropriato della sanzione pecuniaria. Il meccanismo di coerenza può essere utilizzato anche per favorire un’applicazione coerente delle sanzioni amministrative pecuniarie. Dovrebbe spettare agli Stati membri determinare se e in che misura le autorità pubbliche debbano essere soggette a sanzioni amministrative pecuniarie. Imporre una sanzione amministrativa pecuniaria o dare un avvertimento non incide sull’applicazione di altri poteri delle autorità di controllo o di altre sanzioni a norma del regolamento…”.
[4] CGUE 05.12.2023, Causa C‑807/21, Deutsche Wohnen, punto 53.
[5] Ibidem, punto 54.
[6] Ibidem, punto 56.
[7] Ibidem, punto 57.
[8] Ibidem, punto 58.