Violazione privacy, quando scattano le sanzioni per il titolare del trattamento

La Corte di giustizia UE, con le sentenze del 5 dicembre 2023 rese nelle cause C-683/21 e C-807/21, ha fatto luce sulla portata e l'interpretazione dell'art. 83 GDPR, in materia di condizioni generali per infliggere sanzioni amministrative pecuniarie. Le due pronunce chiariscono, tra il resto, tre questioni principali:

• le condizioni in presenza delle quali le autorità nazionali di controllo possono infliggere una sanzione pecuniaria amministrativa a uno o più titolari del trattamento per violazione del regolamento generale sulla protezione dei dati (GDPR);
• se una sanzione amministrativa pecuniaria possa essere inflitta, in applicazione del citato art. 83 GDPR, a un titolare del trattamento riguardo alle operazioni di trattamento effettuate da un responsabile del trattamento (secondo la definizione di cui all'art. 4, punto 8, GDPR, è responsabile del trattamento «la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento»);
• se l'art. 83 GDPR deve essere interpretato nel senso che una sanzione amministrativa pecuniaria può essere inflitta ai sensi di tale disposizione solo qualora venga accertato che il titolare del trattamento, che sia al contempo una persona giuridica e un'impresa, ha commesso, con dolo o colpa, una violazione di cui ai paragrafi da 4 a 6 di tale articolo.

Al riguardo i giudici comunitari hanno affermato che l'art. 83 GDPR deve essere interpretato nel senso che, da un lato, una sanzione amministrativa pecuniaria può essere irrogata ai sensi di tale disposizione solo qualora sia accertato che il titolare del trattamento ha commesso, con dolo o colpa, una violazione di cui ai paragrafi da 4 a 6 di detto articolo e, dall'altro, una sanzione pecuniaria siffatta può essere inflitta a un titolare del trattamento in relazione a operazioni di trattamento di dati personali effettuate per suo conto da un responsabile del trattamento, salvo che, nell'ambito di tali operazioni, detto responsabile del trattamento abbia effettuato trattamenti per finalità che gli sono proprie o abbia trattato tali dati in modo incompatibile con il quadro o le modalità del trattamento quali erano stati determinati dal titolare del trattamento o in modo tale che non si può ragionevolmente ritenere che tale titolare abbia a ciò acconsentito.

Relativamente alla terza questione la Corte di Giustizia ha confermato che l'art. 83 GDPR debba essere interpretato nel senso che una sanzione amministrativa pecuniaria può essere inflitta ai sensi di tale disposizione solo qualora venga accertato che il titolare del trattamento, che sia al contempo una persona giuridica e un'impresa, ha commesso, con dolo o colpa, una violazione di cui ai paragrafi da 4 a 6 di tale articolo.

Fonte:   ;