di Federica Resta, dirigente del Garante per la protezione dei dati personali*
Con l’ord. 21789/23, la Corte di cassazione ha chiarito alcuni aspetti essenziali della disciplina di protezione dei dati personali. Sono state fornite, in particolare, indicazioni importanti sui criteri di commisurazione delle sanzioni amministrative previste dal Regolamento generale sulla protezione dati, sui poteri del giudice adito in sede di opposizione avverso il provvedimento del Garante, sulla competenza delle Autorità di protezione dati nazionali, rispetto a trattamenti di carattere transfrontaliero.
1. Il provvedimento del Garante e la sentenza di primo grado
L’ordinanza 21789 del 22 settembre 2023 della Corte di cassazione sancisce alcuni importanti principi in materia di protezione dei dati personali. I profili di maggiore interesse della pronuncia riguardano i criteri di irrogazione delle sanzioni amministrative pecuniarie previste dal Regolamento (UE) 2016/679 (infra: Regolamento), i poteri del giudice in sede di opposizione al provvedimento del Garante, la competenza dell’Autorità di protezione dati diversa dall’Autorità capofila rispetto a trattamenti di dati personali di carattere transfrontaliero.
La vicenda riguarda il trattamento dei dati dei lavoratori (riders) di una nota società di food delivery, oggetto di un provvedimento del Garante di natura correttiva e sanzionatoria del 10 giugno 2021 (n. 234).
In quella sede, in particolare, è stata accertata la responsabilità della società per una serie di violazioni del Regolamento, quali: inidoneità dell’informativa resa ai lavoratori rispetto al funzionamento dell’algoritmo; violazione del principio di limitazione della conservazione (art. 5, p.1, lett.e) per aver conservato dati personali per un periodo eccedente le reali necessità; violazione dei principio di minimizzazione (art. 5, p.1, lett.c) e di privacy by design e by default (art. 25) per l’inadeguatezza delle modalità di configurazione dei sistemi informatici mediante i quali avveniva il trattamento dei dati; omessa effettuazione della valutazione d’impatto sulla protezione dati, ritenuta in quel caso doverosa per le peculiari caratteristiche del trattamento; omessa adozione delle misure a tutela delle libertà e dei diritti degli interessati rispetto ai processi decisionali automatizzati fondati sul trattamento di dati personali (art. 22, p.3); omessa comunicazione della designazione del responsabile della protezione dati (art. 37, p.7); inidonea tenuta del registro delle attività di trattamento; violazione della disciplina lavoristica (art. 4 l. 300 del 1970, richiamato anche in funzione sanzionatoria dall’art. 114 d.lgs. 196 del 2003 e s.m.i.) in relazione al controllo a distanza dell’attività lavorativa realizzato mediante il trattamento dei dati dei lavoratori effettuato tramite la piattaforma digitale, l’ app e i canali utilizzati dal customer care.
Applicando il criterio del cumulo giuridico previsto dall’art. 83, p.3, del Regolamento per i casi di concorso di illeciti, a fronte delle violazioni riscontrate è stata irrogata la sanzione amministrativa pecuniaria comminata per l’illecito più grave, ovvero - come si legge nel provvedimento - quello derivante dalla violazione dei principi del trattamento (art.5 del Regolamento).
Per tali illeciti la sanzione edittale prevista giunge fino a 20 milioni di euro o al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore.
In applicazione di tali criteri, il Garante ha irrogato - oltre alla sanzione accessoria della pubblicazione, sul sito web dell’Autorità, dell’ordinanza ingiunzione - una sanzione amministrativa pecuniaria di euro 2.600.000,00, così individuata tenendo conto dei vari parametri di commisurazione infraedittale, di ordine oggettivo e soggettivo, previsti dall’art. 83, p. 2, del Regolamento.
Avverso tale provvedimento ricorreva la società ingiunta, con opposizione accolta in primo grado. Tale sentenza (Tribunale di Milano, sent.n. 3276/2022) disponeva, in particolare, l’annullamento della sanzione irrogata. In particolare, il Tribunale aveva ritenuto da un lato legittimo, sul piano della competenza, l’intervento nei confronti di una società italiana interamente controllata da altro ente collettivo straniero.
La contestazione della legittimità del provvedimento muoveva, tuttavia, dalla commisurazione infraedittale della sanzione, ritenendo che il Garante non avrebbe rispettato il criterio di cui all’art. 83, par. 5, lett. a), del GDPR, perché avrebbe - in violazione del disposto dell’alinea - irrogato una sanzione superiore al massimo edittale del 4% del fatturato mondiale totale annuo dell’esercizio precedente. La sanzione irrogata, di 2.600.000 euro, corrisponderebbe, infatti, se rapportata in termini percentuali al fatturato, al suo 7, 29%.
Per tale ragione, il Tribunale ha annullato il provvedimento "senza possibilità per il giudice adito di modificare l'entità della pena pecuniaria". Il giudice ha, infatti, ritenuto che tale potere non gli sia attribuito dall'art. 10 del d.lgs. 150 del 2011, diversamente da quanto previsto per i procedimenti di cui agli artt. 6 e 7. Del resto, la deroga al divieto di annullamento degli atti amministrativi da parte del giudice ordinario (richiamata al comma 6 dell’art. 10 d.lgs. 150 del 2011) si riferisce al potere di ingiunzione, da parte del giudice, delle “misure necessarie”, per tali intendendo le misure correttive.
2. L’ordinanza della Corte di Cassazione
Avverso la sentenza del Tribunale di Milano, il Garante ha presentato ricorso (per saltum, ex art. 10, c.10, d.lgs. 196 del 2003 e s.m.i.) in cassazione accolto con rinvio, con l’ordinanza in analisi, limitatamente a due motivi.
La Corte ha, in particolare, enunciato i seguenti principi:
“l'art. 83 del GDPR prevede e disciplina le condizioni generali per infliggere sanzioni amministrative pecuniarie stabilendo una regola preliminare imputata alla rilevanza del caso singolo, sicché ogni autorità di controllo deve provvedere affinché le sanzioni amministrative pecuniarie inflitte in relazione alle violazioni del regolamento siano "in ogni singolo caso" effettive, proporzionate e dissuasive;”
“il riferimento alla sanzione proporzionale non è posto dal GDPR in funzione mitigatoria del limite edittale stabilito con la sanzione variabile ordinaria, ma rappresenta un limite edittale ulteriore e distinto, al quale occorre riferirsi solo se superiore (esso in quanto tale) al massimo della sanzione suddetta;”
“con la sentenza che accoglie l'opposizione il giudice, anche nelle controversie in materia di dati personali, può annullare in tutto o in parte il provvedimento o modificarlo anche limitatamente all'entità della sanzione dovuta, che è determinata in una misura in ogni caso non inferiore al minimo edittale;”
“ove dalla sentenza di merito risulti che il trattamento sia stato effettuato da una società italiana in piena e diretta autonomia di decisione rispetto ai dati personali dei propri rider, tanto basta a stabilire la legittimazione a fini sanzionatori dell'Autorità nazionale garante della protezione dei dati”.
Con riguardo ai criteri di irrogazione della sanzione, la Corte chiarisce anzitutto la gerarchia di priorità da osservare rispetto ai parametri previsti dall’articolo 83 del Regolamento, al fine di circoscrivere la discrezionalità delle Autorità di controllo nell’esercizio di una potestà sanzionatoria che la giurisprudenza interna, in applicazione dei criteri sanciti dalla giurisprudenza delle Corti Europea dei diritti umani e di giustizia dell’Unione europea, ha definito punitiva in senso convenzionale (Trib. Palermo, sent. 3563 del 18 luglio 2019).
L’ordinanza afferma dunque, in primo luogo, che i criteri di efficacia, proporzionalità, dissuasività delle sanzioni amministrative, previsti dall’art. 83, p.1, del Regolamento, delineano una “regola preliminare”, incentrata sulla “rilevanza del caso singolo”. La norma vincola, dunque, l’esercizio del potere sanzionatorio al rispetto di parametri che impongono di tenere in conto, in via preliminare, delle caratteristiche della fattispecie concreta, in modo che il public enforcement sia realizzato in modo, appunto, efficace e proporzionato rispetto alle peculiarità dell’illecito e dissuasivo (almeno, in ottica special-preventiva) nei confronti dell’autore della violazione. Tale ricostruzione è, del resto, coerente con il dettato normativo. Nell’art. 83, p.1, i criteri tradizionalmente riferiti alla disciplina interna degli aspetti sanzionatori e, dunque, alla discrezionalità del legislatore nazionale (cfr., ad es., art.34, p.1, Reg (UE) 2022/868) sono infatti riferiti, per converso, all’irrogazione, in concreto, delle sanzioni da parte delle autorità di controllo (cfr., anche, C 148 del Regolamento).
Per altro verso, la Corte di cassazione chiarisce il rapporto tra i due diversi criteri di irrogazione delle sanzioni amministrative pecuniarie previsti dall’art. 83, p. 4 e 5: quello “fisso” o statico e quello proporzionale o dinamico.
Tali disposizioni prevedono, infatti, per ciascuna delle due “fasce” di illeciti contemplate e distinte per gravità, due diverse cornici edittali: la prima con un massimo edittale fisso (10 milioni di euro per la fascia di illeciti del paragrafo 4, 20 milioni di euro per quella del paragrafo 5) e la seconda con un massimo edittale proporzionale (nella misura del 2% per gli illeciti del paragrafo 4 del 4% per gli illeciti del paragrafo 5) al fatturato mondiale totale annuo dell’esercizio precedente dell’impresa. Entrambe le disposizioni circoscrivono, tuttavia, la residualità del criterio proporzionale, rendendolo applicabile solo nel caso in cui il massimo edittale, così calcolato (appunto nella misura del 2% o, rispettivamente, del 4% del fatturato) sia superiore al massimo edittale individuato dal criterio fisso (nella misura di 10 milioni o, rispettivamente, 20 milioni di euro).
La Corte di cassazione chiarisce, dunque, che la scelta del criterio sanzionatorio da applicare deve conseguire a una previa comparazione del fatturato dell’impresa con il limite (500 milioni di euro) il cui 4% e il cui 2% corrispondono al massimo edittale fisso (rispettivamente 20 e 10 milioni di euro) sancito per le due fasce di illecito previste dai paragrafi 4 e 5 dell’art. 83. Il criterio proporzionale è, dunque, applicabile solo a imprese il cui fatturato superi la soglia dei 500 milioni di euro; laddove esso sia, invece, inferiore (come nel caso oggetto del ricorso), la valutazione percentuale non viene in rilievo, dovendo la sanzione muoversi all’interno della cornice edittale fissa. In tal senso dispongo, peraltro chiaramente, le Linee guida n. 4 del 2002 dell’European Data Protection Board. Nel caso di specie, inoltre (come, del resto, in altri simili), è stato considerato il fatturato non dell’intero gruppo ma della società partecipata stabilita nel territorio nazionale e ritenuta essere l’effettiva titolare del trattamento, argomentando dalla nozione di "impresa" di cui agli articoli 101 e 102 TFUE.
Circa i poteri del giudice in sede di opposizione al provvedimento del Garante, la Cassazione chiarisce come la norma di cui all’art. 10 d.lgs. 150 del 2011 (in cui manca un espresso riferimento ai poteri di modifica della sanzione da parte del giudice), non vada letta isolatamente, ma in combinato disposto con l’art. 166 d.lgs. 196 del 2003 e s.m.i., che disciplina il procedimento sanzionatorio dinanzi al Garante.
Tale norma, infatti, richiama “in quanto applicabili” alcune disposizioni della legge 689 del 1981 tra le quali anche l’art.22, relativamente all’opposizione all’ordinanza ingiunzione. La disciplina procedurale di tale giudizio di opposizione è, invece, prevista dall’art. 6 d.lgs. 150 del 2011, il cui comma 12 legittima espressamente il giudice, tra l’altro, alla modifica dell’entità della sanzione dovuta. Da questo complesso rinvio normativo la Cassazione deduce, dunque, il potere del giudice di rimodulare, in sede di giudizio di opposizione, anche l’entità della sanzione irrogata dal Garante, sia pur in misura non inferiore al minimo (a rigore, non contemplato dalla norma).
Tale conclusione è, del resto, coerente con la complessiva disciplina delle tutele, amministrativa e giurisdizionale, prevista dal Regolamento in modo da temperare (o, meglio, coniugare) la regola dell’alternatività con quella della indefettibilità ed effettività della tutela giurisdizionale. Essa, infatti, non può essere preclusa neppure in caso di previo esperimento della tutela amministrativa, salvo tuttavia in questa ipotesi assumere il carattere del giudizio impugnatorio (recte: oppositivo) avverso il provvedimento reso dal Garante (o la sua inerzia). In altri termini, ai fini della valutazione tanto dell’alternatività quanto dell’effettività, l’esito risultante dalla successione tra tutela amministrativa e giurisdizionale deve poter equivalere a quello risultante dalla sola seconda. Se, dunque, il requisito dell’effettività della tutela è riferito formalmente solo a quella giurisdizionale, l’indefettibilità di quest’ultima (essendo sempre ammessa o in via diretta e alternativa a quella amministrativa, ovvero in via complementare a questa, in sede di opposizione alla decisione conclusiva del contenzioso dinanzi al Garante) determina di fatto un’estensione del canone di effettività all’intero sistema delle tutele, complessivamente considerato. Tale ragione induce, del resto, a ritenere anche che l’impugnazione del provvedimento del Garante (almeno se assunto in sede contenziosa) non configuri un giudizio di seconda istanza tout court, a cognizione dunque limitata alle sole questioni dedotte dalle parti ma abbia, invece, natura interamente devolutiva del rapporto sottostante, configurando in altri termini un novum judicium e non una mera revisio prioris instantiae. Il ricorso configurerebbe, dunque, non un gravame ma un’opposizione (CC, VI, 25 maggio 2017, n. 13151).
Infine, l’ordinanza in analisi ha chiarito un aspetto importante della competenza delle Autorità di protezione dati diverse dalla autorità capofila (artt. 55-56 del Regolamento), rispetto ai trattamenti di dati personali transfrontalieri. La Cassazione ha ritenuto dirimente, ai fini del radicamento della competenza di un’Autorità non capofila, relativamente al trattamento svolto non dallo stabilimento principale della società, il grado di autonomia decisionale della sede interessata rispetto a tale trattamento.
Tale profilo - precisa l’ordinanza - naturalmente investe una valutazione di merito che verta, appunto, sul grado di eterodirezione della sede locale dallo stabilimento principale, ma è indispensabile per verificare la competenza dell’Autorità interessata.
*Il presente contributo riflette opinioni personali dell’autrice, che non impegnano in alcun modo l’Autorità di appartenenza.
(Immagine: Aaron Koblin, Flight Patterns, 2011, Chicago Art Institute, © Aaron Koblin)