Art. 83 GDPR – Condizioni generali per infliggere sanzioni amministrative pecuniarie. 🧑‍⚖️ La Corte di Cassazione, Prima Sezione Civile, con un’ordinanza del 22 settembre 2023, n. 27189 nell’accogliere il ricorso presentato dal Garante Privacy ha delineato i criteri delle sanzioni GDPR così riassumibili: in maniera effettiva, proporzionale e dissuasiva rapportate “in ogni singolo caso”.  A):  Conforme al GDPR, le sanzioni amministrative pecuniarie devono essere calibrate sul “singolo caso”, valutando la loro proporzionalitĂ , effettivitĂ e funzione dissuasiva per il caso in questione.  B):  L’indicazione della sanzione pecuniaria in percentuale al fatturato non serve come mitigazione rispetto al limite massimo edittale, ma rappresenta un’alternativa. Tanto emerge da una lettura letterale della norma. C): Il giudice di merito ha la facoltĂ di modificare direttamente l’importo della sanzione pecuniaria se lo ritiene non conforme ai criteri stabiliti dall’art. 83 GDPR.
Il caso portato all’attenzione della Suprema Corte di Cassazione traeva origine dal provvedimento n. 243 del 10 giugno 2021 con cui l’AutoritĂ Garante per la protezione dei dati aveva sanzionato una societĂ nel settore del food per aver commesso una serie di violazioni nel trattamento dei dati personali e in particolare nei confronti dei cd rider cioè quei lavoratori dedicati alla consegna, a seguito di ordini di cibo o altri beni effettuati dai clienti.
Cassazione civile Sez. I – 22.09.2023, n. 27189. PRNICIPI  A) : “Ne segue che integra una violazione del Regolamento l’affermazione del tribunale secondo cui la sanzione è illegittima perchĂ© asseritamente superiore alla percentuale media applicata in altri casi (peraltro neppure specificati). Al piĂą una simile affermazione può risolversi nella segnalazione di un indice di ipotetica sproporzione, che però andrebbe sempre rapportato al “caso singolo”, e come tale implicherebbe un giudizio adeguatamente motivato in concreto; cosa che l’impugnata sentenza ha mancato di fare.” “Si tratta di sanzioni alternative, l’una principale, stabilita in valore variabile tra un minimo e un massimo, l’altra, subordinata, stabilita in valore proporzionale all’ammontare del fatturato annuo. B) “Quello della percentuale del fatturato mondiale annuo è però un riferimento proporzionale che, per le imprese, non ha funzione mitigatoria del limite edittale ordinariamente stabilito in misura variabile tra il minimo e il massimo. Opera invece come ulteriore limite edittale della sanzione alternativa a fronte del massimo di quella ordinaria (20.000.000,00 EUR). Opera cioè solo se determinativo (esso stesso) di un importo sanzionatorio superiore al primo. Ciò si trae agevolmente dalla locuzione finale della norma (“se superiore”), che è riferita alla sanzione.” C)  “A tutte le controversie di cui all’art. 22 della legge n. 689 del 1981 si applica a sua volta – e per intero – l’art. 6 del Decreto legislativo n. 150 del 2011. Il coordinamento di questa norma, implicitamente richiamata dallo stesso art. 166 codice privacy per effetto dei successivi rimandi, con l’art. 10 porta ad affermare che, diversamente da quanto sostenuto dal tribunale di Milano, si estende al procedimento di opposizione in esame anche la regola dettata dal comma 12 dell’art. 6 medesimo; sicchĂ© con la sentenza che accoglie l’opposizione il giudice, anche nelle controversie in materia di dati personali, può annullare in tutto o in parte l’ordinanza “o modificarla anche limitatamente all’entitĂ della sanzione dovuta, che è determinata in una misura in ogni caso non inferiore al minimo edittale”
Art. 83: Condizioni generali per infliggere sanzioni amministrative pecuniarie. 1. Ogni autoritĂ di controllo provvede affinchĂ© le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive. 2. Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all’articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi: a) la natura, la gravitĂ e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalitĂ del trattamento in questione nonchĂ© il numero di interessati lesi dal danno e il livello del danno da essi subito; b) il carattere doloso o colposo della violazione; c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati; d) il grado di responsabilitĂ del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32; e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento; f) il grado di cooperazione con l’autoritĂ di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; g) le categorie di dati personali interessate dalla violazione; h) la maniera in cui l’autoritĂ di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione; i) qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti; j) l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42; e k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione. 3. Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione piĂą grave. 4. In conformitĂ del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43; b) gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43; c) gli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4; 5. In conformitĂ del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9; b) i diritti degli interessati a norma degli articoli da 12 a 22; c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49; d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autoritĂ di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1. 6. In conformitĂ del paragrafo 2 del presente articolo, l’inosservanza di un ordine da parte dell’autoritĂ di controllo di cui all’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. 7. Fatti salvi i poteri correttivi delle autoritĂ di controllo a norma dell’articolo 58, paragrafo 2, ogni Stato membro può prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autoritĂ pubbliche e organismi pubblici istituiti in tale Stato membro. 8. L’esercizio da parte dell’autoritĂ di controllo dei poteri attribuitile dal presente articolo è soggetto a garanzie procedurali adeguate in conformitĂ del diritto dell’Unione e degli Stati membri, inclusi il ricorso giurisdizionale effettivo e il giusto processo. 9. Se l’ordinamento giuridico dello Stato membro non prevede sanzioni amministrative pecuniarie, il presente articolo può essere applicato in maniera tale che l’azione sanzionatoria sia avviata dall’autoritĂ di controllo competente e la sanzione pecuniaria sia irrogata dalle competenti autoritĂ giurisdizionali nazionali, garantendo nel contempo che i mezzi di ricorso siano effettivi e abbiano effetto equivalente alle sanzioni amministrative pecuniarie irrogate dalle autoritĂ di controllo. In ogni caso, le sanzioni pecuniarie irrogate sono effettive, proporzionate e dissuasive. Tali Stati membri notificano alla Commissione le disposizioni di legge adottate a norma del presente paragrafo al piĂą tardi entro il 25 maggio 2018 e comunicano senza ritardo ogni successiva modifica. (1) (1) Paragrafo così corretto da Rettifica pubblicata nella G.U.U.E. 23 maggio 2018, n. 127 Serie L.
