Sanzioni previste dal GDPR: il calcolo si basa sul fatturato di ogni singola azienda o su quello complessivo del gruppo di aziende? Risponde la CGUE.
Le sanzioni amministrative previste dal Regolamento Generale sulla Protezione dei Dati (GDPR) per violazioni in materia di privacy sono un tema che continua a suscitare dibattito, soprattutto quando coinvolgono grandi aziende.
Una delle questioni centrali è infatti come calcolare correttamente l’ammontare della multa: deve basarsi solo sul fatturato della singola società colpevole o su quello dell’intero gruppo economico a cui appartiene?
Questa domanda ha trovato una risposta nell’opinione dell’avvocato generale della Corte di Giustizia dell’Unione Europea, che ha interpretato l’articolo 83 del GDPR, norma che regola le sanzioni per le infrazioni delle disposizioni sulla privacy.
Il caso di specie riguarda una domanda di pronuncia pregiudiziale proposta dal Vestre Landsret, la Corte regionale dell’Ovest, Danimarca.
Calcolo sanzioni GDPR: conta il fatturato della singola azienda o quello di gruppo?
Secondo l’interpretazione dell’articolo 83 del GDPR sopra citato, il fatturato complessivo del gruppo può essere utilizzato come parametro solo se la violazione riguarda più entità all’interno dello stesso conglomerato.
In alcuni paesi, come la Danimarca, le modalità con cui vengono inflitte le sanzioni pecuniarie variano rispetto al modello prevalente nell’Unione Europea. L’autorità di protezione dei dati danese, infatti, non ha il potere di imporre direttamente multe amministrative; deve invece presentare un rapporto alla polizia, che avvia un’indagine. Solo dopo che l’autorità giudiziaria ha valutato il caso, può essere stabilito l’importo della sanzione.
Un passaggio fondamentale per comprendere l’applicazione delle multe nel contesto di gruppi multinazionali riguarda la definizione di “impresa” prevista dal GDPR. L’articolo 83, infatti, si collega a concetti derivanti dai Trattati sul Funzionamento dell’Unione Europea (TFUE), che parlano di “impresa” in senso ampio, includendo non solo la singola entità che commette l’infrazione, ma anche il gruppo economico di cui fa parte.
L’applicazione delle multe: Il Caso Lars Larsen Group
Un esempio concreto di questa complessa dinamica è quello del gruppo Lars Larsen, una holding con un fatturato complessivo di circa 881 milioni di euro, contro i 241 milioni della singola società danese ILVA, parte del gruppo e coinvolta in una violazione del GDPR. La questione chiave è se la multa debba essere proporzionata solo al fatturato della singola azienda ILVA o se l’intero gruppo debba essere considerato nel calcolo.
Secondo l’avvocato generale, l’applicazione delle sanzioni deve essere valutata caso per caso, tenendo conto di vari elementi, tra cui il potere decisionale della società madre e l’estensione dell’infrazione. Non è sufficiente punire un’azienda isolata; il gruppo, nel suo complesso, potrebbe essere ritenuto corresponsabile.
Il Principio di proporzionalità
Un altro aspetto cruciale è il principio di proporzionalità, sancito sia dal GDPR che dalla Carta dei Diritti Fondamentali dell’Unione Europea. Le multe devono essere adeguate alla gravità della violazione e alla capacità finanziaria dell’impresa. La Corte di Giustizia ha chiarito che non si può infliggere una sanzione che superi quanto necessario per dissuadere ulteriori infrazioni. Ciò implica che anche le caratteristiche specifiche dell’azienda, come le sue dimensioni e la struttura del gruppo, devono essere attentamente considerate.
Nel contesto di procedimenti penali, come accade in Danimarca, il rispetto di questo principio assume una rilevanza ancora maggiore. La Corte ha stabilito che le autorità nazionali devono valutare attentamente se una sanzione finanziaria possa costituire un onere eccessivo per l’azienda colpevole, potenzialmente minando la sua capacità di operare sul mercato.
Le conlusioni dopo questa interpretazione
Il dibattito sul calcolo delle sanzioni per le violazioni della privacy resta aperto e la questione del fatturato di gruppo continua a essere al centro delle discussioni. Sebbene il GDPR preveda regole severe per garantire la protezione dei dati personali, queste devono essere applicate in modo coerente e proporzionato, bilanciando l’interesse generale con i diritti fondamentali delle imprese coinvolte.
Le autorità nazionali e i tribunali europei sono chiamati a fare un delicato esercizio di equilibrio, assicurandosi che le sanzioni imposte non siano solo punitive, ma anche giuste e dissuasive, senza minare la stabilità economica delle aziende interessate.