Con una recente pronuncia (ordinanza numero 27189 del 22 settembre 2023), la Corte di cassazione ha fissato alcuni principi per la quantificazione delle sanzioni GDPR
Il caso parte da un Provvedimento col quale il Garante aveva irrogato la sanzione amministrativa di 2.600.000,00 EUR, per avere violato distinte norme del Regolamento GDPR quanto ai dati personali dei cd. rider.
Il Tribunale di Milano, ha annullato il provvedimento per eccessività della sanzione inflitta (il Garante aveva valutato la violazione più grave – in misura pari al 7,29% – e quindi notevolmente superiore al parametro del 4% previsto dall’art. 83 comma 5 GDPR) senza però rimodulare la sanzione stessa; il Garante privacy ha proposto ricorso per cassazione.
La Cassazione ha accolto il ricorso del Garante, confermando il Provvedimento annullato in primo grado ed ha chiarito i seguenti principi.
- L’art. 83 del GDPR prevede e disciplina le condizioni generali per infliggere sanzioni amministrative pecuniarie in relazione alla specificità, effettività e proporzionalità del singolo caso concreto. La sanzione, quindi deve essere effettiva, proporzionale e dissuasiva.
- Il totale della sanzione inflitta non può superare l’importo specificato per la violazione più grave, tenuto conto dei due parametri stabiliti ai paragrafi 4 e 5 art. 83 GDPR. In particolare, il GDPR stabilisce due tipologie di sanzioni amministrative pecuniarie, entrambe determinate in una somma variabile fino a massimo (fino a 10.000.000 EUR o fino a 20.000.000,0 EUR) a seconda che vi sia stata una delle violazioni enumerate al par. 4 o una di quelle enumerate al par. 5. In alternativa a questa sanzione in caso di imprese è prevista la possibilità di una sanzione proporzionale (fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, ovvero fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente), ma solo “se superiore” rispetto alla sanzione edittale variabile entro il massimo assoluto. Il riferimento alla sanzione proporzionale non è posto dal GDPR in funzione mitigatoria del limite edittale stabilito con la sanzione variabile ordinaria, ma rappresenta un limite edittale ulteriore e distinto, al quale occorre riferirsi solo se superiore (esso in quanto tale) al massimo della sanzione suddetta.”
- Il giudice, di primo grado può annullare nel merito la sanzione, può ridurre la sanzione comminata, ma non può annullare de plano il provvedimento perché ritiene sproporzionata la sanzione irrogata.