Sanzioni GDPR, facciamo chiarezza sulla pronuncia Cass. 27189/2023

Ne ha parlato oggi per la Radio dell’Avvocatura – IusLaw Web radio l’avvocato Enrico Pelino. Di seguito una breve sintesi dei passaggi principali.

Due milioni e seicentomila euro: è l’ammontare della sanzione decisa nel 2021 dal Garante per la protezione dei dati personali nei confronti di Foodinho s.r.l., società del gruppo Glovo.

La vicenda affronta uno dei grandi temi contemporanei: la gestione completamente automatizzata del lavoro. Fino a che punto e con quali limiti è consentita? Sia permesso, in materia, rimandare anche al breve approfondimento già apparso in questo blog: Sorveglianza algoritmica e diritti dei lavoratori

Nella vicenda Foodinho, l’autorità di controllo sui dati personali aveva contestato rilevanti violazioni del GDPR e in particolare rilevato il contrasto con l’art. 22.

Tale disposizione, com’è noto, introduce il divieto generale di decisioni significative unicamente automatizzate, fatte salve alcune ben circoscritte eccezioni.

L’annullamento da parte del Tribunale di Milano

La società di food delivery aveva in seguito ottenuto – sorprendentemente – l’annullamento della sanzione avanti al Tribunale di Milano, facendo leva su due principali tesi difensive:

  • la sanzione comminata corrisponde al 7,29% del fatturato mondiale dell’esercizio precedente, laddove il massimo di legge sarebbe il 4% ;
  • il giudice non potrebbe ridurre la somma entro il limite di legge, per asserita carenza di una norma che lo consenta.

Ma è davvero così? In realtà, nessuno di questi rilievi trova conforto nel diritto applicabile. Lo ha chiarito la Suprema Corte nell’ordinanza in commento, cassando la decisione di merito in accoglimento del ricorso del Garante.

Il giudice di legittimità ha precisato con l’occasione tre rilevanti principi.

Primo principio – Vale il caso singolo

L’art. 83 del GDPR prevede e disciplina le condizioni generali per infliggere sanzioni amministrative pecuniarie stabilendo una regola preliminare imputata alla rilevanza del caso singolo, sicché ogni autorità di controllo deve provvedere affinché le sanzioni amministrative pecuniarie inflitte in relazione alle violazioni del regolamento siano in ogni singolo caso ‘effettive, proporzionate e dissuasive'”.

Nulla di nuovo rispetto alla formulazione testuale dell’art. 83, par. 1 GDPR. Il principio tuttavia non impedisce la formulazione di ben motivati rilievi costruiti sulla clausola di proporzionalità, dunque su un confronto preciso e argomentato rispetto a casi analoghi, come la Suprema corte ha modo di precisare in un passaggio della motivazione. Appare questo lo spunto di maggiore interesse.

Secondo principio – Concorrenza tra massimo statico e massimo dinamico

[… I]l totale della sanzione non deve superare ‘l’importo specificato per la violazione più grave’, […] è prevista alternativamente, per il caso di imprese, una sanzione proporzionale (fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, per il par. 4, ovvero fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, per il par. 5), ma solo se superiore’ rispetto alla sanzione edittale variabile entro il massimo assoluto”.

Ne segue che il riferimento alla sanzione proporzionale non è posto dal GDPR in funzione mitigatoria del limite edittale stabilito con la sanzione variabile ordinaria, ma rappresenta un limite edittale ulteriore e distinto, al quale occorre riferirsi solo se superiore (esso in quanto tale) al massimo della sanzione suddetta”.

Anche in tal caso nulla di nuovo. “Se superiore” è precisazione contenuta nel disposto normativo. La regola è cioè che nel determinare il massimo editale, per le imprese, si tiene conto dell’importo più alto tra il limite statico (10 o 20 milioni, a seconda delle ipotesi) e il limite dinamico (2% o 4% del fatturato mondiale annuo dell’esercizio passato).

Terzo principio – Il giudice può rimodulare l’importo della sanzione

Poiché, per effetto dell’implicito richiamo contenuto nell’art. 166 del codice privacy, si applica l’art. 6 del D. lgs. n. 150 del 2011 anche in materia sanzioni amministrative per violazione delle norme relative ai dati personali, il coordinamento di questa norma con l’art. 10 del D. lgs. stesso comporta che si estende al procedimento di opposizione la regola dettata dal comma 12 dell’art. 6 medesimo”.

Ne segue che “con la sentenza che accoglie l’opposizione il giudice, anche nelle controversie in materia di dati personali, può annullare in tutto o in parte il provvedimento o modificarlo anche limitatamente all’entità della sanzione dovuta, che è determinata in una misura in ogni caso non inferiore al minimo edittale”.

Questo è il principio certamente di maggiore interesse, ancorché direttamente desumibile dalle disposizioni citate. Si pone solo, semmai, il tema della composizione dell’art. 10 d.lgs. 150/2011 con l’art. 6 dello stesso atto normativo.

Conclusioni

Decisione storica della Cassazione, come hanno scritto in molti? L’ordinanza costituisce certamente una delle principali occasioni di chiarimento sull’applicazione dell’art. 83 GDPR, tuttavia non apporta alcuna reale novità.

I tre principi menzionati appaiono infatti applicazioni testuali della formulazione normativa né risultano disputati in dottrina. La decisione si pone dunque semmai nel senso di una conferma, tanto più opportuna in quanto sussistono, come si è visto, orientamenti difformi nella giurisprudenza di merito.

Per completezza, occorre menzionare che l’ordinanza enuncia altri due principi in tema di competenza del Garante e di verifica della sussistenza di un trattamento transfrontaliero, tale cioè da coinvolgere più Stati membri nei termini descritti dall’art. 4.23) GDPR.

Sul primo passaggio (natura del trattamento trasfrontaliero), né il giudice di merito né la Cassazione si diffondono, sul rilievo che il trattamento nel caso di specie appariva svolto in piena autonomia dalla società italiana. L’argomento costituisce approfondimento di merito, non suscettibile perciò di esame in sede di legittimità.