Con una recente pronuncia, la Corte di cassazione ha fissato alcuni principi sostanziali non solo in merito alle sanzioni legate alle violazioni del Gdpr, ma anche in tema di controversie in materia di dati personali, di trattamento transfrontaliero di dati e di accertamento di fato sull’eterodirezione e del concetto di stabilimento principale.
La pronuncia della Cassazione (ordinanza numero 27189 del 22 settembre 2023) sarà oggetto di studio, sia perché ha fatto “notizia”, sia perché ha accolto un ricorso proposto dal Garante privacy contro una sentenza del Tribunale di Milano, sia perché ha dettato i paradigmi sul procedimento contenzioso che abbia ad oggetto impugnazioni dei provvedimenti del Garante stesso.
L’ordinanza in generale
In quattro principi di diritto su cinque, la Cassazione ha effettuato un’interpretazione diretta delle norme del GDPR: questo significa che, per registrare un eventuale – se motivato – scostamento da questa interpretazione, dovrebbe intervenire una sentenza della Corte di Giustizia dell’Unione europea in parte qua.
Questa circostanza può verificarsi o in ragione di un contenzioso estero o per richiesta – eventualmente accolta dal giudice adito – di rinvio pregiudiziale in sede nazionale.
Il ricorso è scaturito dall’impugnazione del garante privacy del provvedimento emesso dal tribunale di Milano, adito dalla società ricorrente ai sensi degli artt. 152 del codice privacy e 10 D.Lgs. n. 150 del 2011.
Oggetto del ricorso in primo grado era il provvedimento n. 234 del 10-6-2021 col quale il Garante per la protezione dei dati personali aveva irrogato la sanzione amministrativa di 2.600.000,00 EUR, per avere violato distinte norme del Regolamento GDPR quanto ai dati personali dei cd. rider.
Il Tribunale ha annullato il provvedimento per eccessività della sanzione inflitta, senza modulare la sanzione, per asserita impossibilità, per il giudice adito, di modificare l’entità della sanzione pecuniaria; il Garante privacy ha proposto ricorso per cassazione, la società ha risposto con controricorso.
La Cassazione ha accolto il ricorso del Garante, confermando il provvedimento annullato in primo grado, enucleando i seguenti principi di diritto, che analizzeremo – per quanto possibile – anche con riferimento ai motivi dell’impugnazione principale ed incidentale.
I primi due principi
I primi due principi scaturiscono dall’accoglimento dei primi due motivi di ricorso del Garante.
Nello specifico:
“(i) violazione o falsa applicazione degli artt. 83 del GDPR e 166 del codice privacy in ordine alla affermata eccessività della sanzione, essendo stata invece, la sanzione, irrogata nella misura consentita dal parametro edittale applicabile, tenuto conto degli elementi valutativi al riguardo dettati dall’art. 83 citato;
(ii) omesso esame di fatto decisivo con riferimento al metodo di calcolo della sanzione stessa.
La Cassazione, in conseguenza dell’accoglimento dei motivi, ha espresso i seguenti principi:
“i) l’art. 83 del GDPR prevede e disciplina le condizioni generali per infliggere sanzioni amministrative pecuniarie stabilendo una regola preliminare imputata alla rilevanza del caso singolo, sicché ogni autorità di controllo deve provvedere affinché le sanzioni amministrative pecuniarie inflitte in relazione alle violazioni del regolamento siano “in ogni singolo caso” effettive, proporzionate e dissuasive;
(ii) in caso di violazione, con dolo o colpa, di varie disposizioni del GDPR rispetto allo stesso trattamento o a trattamenti collegati, il totale della sanzione non deve superare “l’importo specificato per la violazione più grave”, e in questa prospettiva, ai fini dell’art. 83, il GDPR stabilisce due tipologie di sanzioni amministrative pecuniarie, entrambe innanzi tutto determinate in una somma variabile fino a massimo (fino a 10.000.000 EUR o fino a 20.000.000,0 EUR) a seconda che vi sia stata una delle violazioni enumerate al par. 4 o una di quelle enumerate al par. 5; in entrambe le condizioni è prevista alternativamente, per il caso di imprese, una sanzione proporzionale (fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, per il par. 4, ovvero fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, per il par. 5), ma solo “se superiore” rispetto alla sanzione edittale variabile entro il massimo assoluto; ne segue che il riferimento alla sanzione proporzionale non è posto dal GDPR in funzione mitigatoria del limite edittale stabilito con la sanzione variabile ordinaria, ma rappresenta un limite edittale ulteriore e distinto, al quale occorre riferirsi solo se superiore (esso in quanto tale) al massimo della sanzione suddetta.”
Qui la Cassazione ha interpretato – peraltro condivisibilmente – il testo del GDPR, per esplicitare come, il parametro sanzionatorio della percentuale del fatturato sia una ipotesi più afflittiva rispetto alla sanzione pecuniaria esplicitata e non abbia, al contrario, funzione mitigatoria.
L’interpretazione è letterale e verrebbe voglia di invocare il principio di diritto espresso dal brocardo latino “in clars non fit interpretatio” come unico comento sul punto.
In conclusione, le sanzioni previste dall’articolo 83 del GDPR sono, rispettivamente, fino 10.000.000,00 di euro nelle ipotesi di cui all’articolo 83, numero 4, GDPR e, nel caso di imprese meritevoli di una sanzione maggiore, nelle stesse ipotesi possono arrivare al 2% del fatturato mondiale.
Idem dicasi con riferimento alle ipotesi di cui al numero 5 dell’articolo 83 GDPR – come nel caso di specie -, solo che i valori sono, rispettivamente, nel massimo pari a 20.000.000,00 o al 4% del fatturato su base mondiale.
Il terzo principio
Il terzo principio di diritto scaturisce dall’accoglimento del terzo motivo di ricorso presentato dal Garante, in materia processuale, per “(ii) omesso esame di fatto decisivo con riferimento al metodo di calcolo della sanzione stessa”.
La Corte di cassazione ha accolto la ricostruzione in diritto effettuata dal Garante in materia di norme processuali e poteri del Giudice, esprimendo il seguente principio:
“(iii) poiché, per effetto dell’implicito richiamo contenuto nell’art. 166 del codice privacy, si applica l’art. 6 del D.Lgs. n. 150 del 2011 anche in materia sanzioni amministrative per violazione delle norme relative ai dati personali, il coordinamento di questa norma con l’art. 10 del D.Lgs. n. stesso comporta che si estende al procedimento di opposizione la regola dettata dal comma 12 dell’art. 6 medesimo; sicché con la sentenza che accoglie l’opposizione il giudice, anche nelle controversie in materia di dati personali, può annullare in tutto o in parte il provvedimento o modificarlo anche limitatamente all’entità della sanzione dovuta, che è determinata in una misura in ogni caso non inferiore al minimo edittale”.
In altri termini, il giudice di primo grado può annullare nel merito la sanzione, può ridurre la sanzione comminata, ma non può annullare de plano il provvedimento perché ritiene sproporzionata la sanzione irrogata.
Questo principio, in relazione al motivo per cui è stato espresso, demolisce tutto l’impianto del provvedimento del tribunale di Milano cha ha determinato il ricorso per Cassazione.
Il quarto e il quinto principio
Gli ultimi due principi di diritto scaturiscono da due motivi, rigettati, di ricorso incidentale proposti dalla società verso cui era stato emesso il provvedimento ed hanno ad oggetto le categorie, entrambe definite espressamente dal GDPR. di trattamento transfrontaliero di eterodirezione del trattamento, al fine di individuare l’Autorità capofila – e quindi competete – ad irrogare la sanzione amministrativa di cui all’articolo 83 del GDPR.
(iv) L’art. 55 del GDPR stabilisce la competenza delle Autorità di controllo nazionali a esercitare i poteri e ad assolvere i compiti ad esse attribuiti in relazione ai trattamenti effettuati sul territorio nazionale da soggetto ivi stabilito e per i quali tale soggetto agisce in qualità di autonomo titolare; solo “fatto salvo l’art. 55”, l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare e del trattamento o responsabile del trattamento è competente ad agire, in base al successivo art. 60, in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento (purché ciò avvenga secondo l’apposita procedura disciplinata dal predetto articolo); ne segue che, ove dalla sentenza di merito risulti che il trattamento sia stato effettuato da una società italiana in piena e diretta autonomia di decisione rispetto ai dati personali dei propri rider, tanto basta a stabilire la legittimazione a fini sanzionatori dell’Autorità nazionale garante della protezione dei dati.
Questi, in sintesi, i motivi di ricorso incidentale:
“(i) violazione o falsa applicazione degli artt. 56 e 60 del GDPR in tema di trattamento transfrontaliero di dati personali, essendo da escludere la legittimazione e la competenza dell’Autorità nazionale a fronte di quella della cd. capofila, competente in rapporto alla sede dello stabilimento principale;
(ii) omesso esame di fatti decisivi a proposito del funzionamento della cd. piattaforma Glovo, attraverso la quale erano stati (e sono) trattati i dati personali dei rider;
(iii) omesso esame di fatti decisivi a proposito del procedimento parallelo azionato dall’Autorità competente spagnola (AEPD) in ragione della stessa ipotetica violazione”.
Questi, per converso, i principi di diritto enucleati dalla Cassazione nel rigettare i motivi sopra descritti:
“(iv) l’art. 55 del GDPR stabilisce la competenza delle Autorità di controllo nazionali a esercitare i poteri e ad assolvere i compiti ad esse attribuiti in relazione ai trattamenti effettuati sul territorio nazionale da soggetto ivi stabilito e per i quali tale soggetto agisce in qualità di autonomo titolare; solo “fatto salvo l’art. 55”, l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare e del trattamento o responsabile del trattamento è competente ad agire, in base al successivo art. 60, in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento (purché ciò avvenga secondo l’apposita procedura disciplinata dal predetto articolo); ne segue che, ove dalla sentenza di merito risulti che il trattamento sia stato effettuato da una società italiana in piena e diretta autonomia di decisione rispetto ai dati personali dei propri rider, tanto basta a stabilire la legittimazione a fini sanzionatori dell’Autorità nazionale garante della protezione dei dati;
(v) stabilire se, ai fini del GDPR, si sia o meno dinanzi a un trattamento eterodiretto da una capofila estera implica un accertamento di merito, così come accade per tutti gli accertamenti sulla titolarità del trattamento dei dati; egualmente costituisce questione di fatto stabilire, in relazione al concetto di “stabilimento principale”, con quale livello di autonomia decisionale il titolare di un trattamento possa concretamente aver operato rispetto alle modalità incise dal funzionamento di una piattaforma informatica; e ove si discuta del trattamenti dei dati di rider operanti in Italia un tale accertamento presuppone di valutare gli elementi dei singoli contratti stipulati, nei quali ordinariamente sono definiti anche (e proprio) le modalità e le regole a cui soggiacciono i trattamenti stessi”.
In questo caso il trattamento era effettuato dalla controllata italiana senza possibilità di modificare le procedure impostate dalla piattaforma collocata presso la sede della controllante, in Spagna.
Per quanto l’eterodirezione sia stata anche chiarita, in sede di merito non era emerso, secondo la Cassazione, alcun elemento idoneo a smentire la qualifica di titolare del trattamento della società italiana, con conseguente radicamento della competenza dell’Autorità Garante per il Trattamento dei dati personali italiana.
Conclusioni
Ordinanza tecnica, destinata a fare giurisprudenza più per gli avvocati che dovranno impugnare provvedimento del garante che altro.
In punto sanzioni, infatti, la Cassazione esplicita l’ovvio, ossia che il parametro della percentuale è più afflittivo rispetto al parametro del massimale fisso.
In materia processuale, vengono chiariti i poteri del giudice di primo grado e vengono esplicitate – se ce ne fosse stato bisogno – le norme che reggono la materia.
Infine – tema più complesso e, forse, più debole in punto motivazione – vengono interpretate le norme del GDPR che reggono la competenza delle autorità garanti.
Qui la Cassazione chiude il discorso con motivazione tecnica, invocando il principio dell’autonomia del ricorso per cassazione e affermando di non essere – ovviamente – giudice del fatto ma di mera nomofilachia.
In prospettiva, però, gli ultimi due principi di diritto espressi dalla cassazione si prestano ad un rinvio pregiudiziale alla Corte di Giustizia UE.
