Violazioni privacy: quanto costano? La Cassazione stabilisce i parametri

Con l’ordinanza n. 27189 del 22/09/2023, destinata a fare scuola, la Cassazione Civile ha enunciato alcuni principi per quantificare le sanzioni conseguenti alle violazioni della normativa sulla protezione dei dati personali.

La Suprema Corte si è pronunciata in accoglimento di un ricorso presentato dal Garante Privacy contro l’annullamento di una ordinanza ingiunzione, con cui l’Autorità aveva inflitto alla società ricorrente una sanzione relativa al trattamento dei dati dei “rider” (pari a 2.600.000 € – Ordinanza ingiunzione del 10/6/2021) ritenuta eccessiva dal Tribunale di Milano.

Il caso

Il caso era quello assai noto che aveva riguardato nel 2021 la società Foodinho S.r.l., sanzionata per illecito trattamento dei dati dei lavoratori tramite algoritmo, senza che i lavoratori avessero ricevuto idonea informativa sul funzionamento dell’algoritmo. Il Garante aveva inoltre ritenuto che l’algoritmo non garantisse l’esattezza e la correttezza dei risultati e che non fossero state previste idonee procedure a tutela del diritto di ottenere l’intervento umano e contestare le decisioni assunte tramite l’algoritmo.

Il Giudizio

La Società aveva impugnato l’ordinanza del Garante, ottenendone dal Tribunale di Milano l’annullamento.

Contro la sentenza del Tribunale di Milano, l’Autorità Garante ha proposto un ricorso affidato a tre motivi:

  • violazione o falsa applicazione degli artt. 83 del GDPR e 166 del Codice Privacy: la sanzione sarebbe stata irrogata nella misura consentita tenuto conto dei criteri di quantificazione previsti all’art. 83 del GDPR;
  • omesso esame di un fatto decisivo circa il metodo di calcolo della sanzione;
  • violazione o falsa applicazione degli artt. 6 e 10 del D.lgs. n. 150 del 2011 e 166 del Codice Privacy, essendo in ogni caso il giudice tenuto, anche in materia di dati personali, a quantificare la sanzione secondo le (ritenute) previsioni di legge, ed eventualmente a rideterminarla in base alla effettiva gravità dei fatti.

Avverso il ricorso del Garante Privacy, la Società ha replicato tramite un controricorso e un ricorso incidentale condizionato, sollevando, a sua volta, tre ulteriori motivi:

  • Violazione o falsa applicazione degli artt. 56 e 60 del GDPR in tema di trattamento transfrontaliero di dati personali, secondo cui la competenza dell’Autorità nazionale sarebbe stata da escludere a fronte di quella della cd. capofila, essendo la Società italiana interamente controllata da altro ente con sede in Spagna;
  • Omesso esame di fatti decisivi a proposito del funzionamento della piattaforma, attraverso la quale erano stati (e sono) trattati i dati personali dei rider;
  • Omesso esame di fatti decisivi a proposito del procedimento parallelo azionato dal Garante Privacy spagnolo (AEPD) in ragione della stessa ipotetica violazione.

I principi

La Cassazione Civile ha accolto il ricorso del Garante Privacy confermando l’ordinanza ingiunzione annullata dal Tribunale di Milano, e nel pronunciarsi ha affermato in proposito i seguenti criteri di diritto:

  • l’art. 83 del GDPR, che prevede e disciplina le condizioni generali per infliggere sanzioni amministrative pecuniarie, stabilisce una regola preliminare basata sulla rilevanza del caso singolo; pertanto, le sanzioni amministrative pecuniarie inflitte in relazione alle violazioni del regolamento devono essere, in ogni singolo caso, effettive, proporzionate e dissuasive;
  • l’ammontare totale della sanzione inflitta non può superare l’importo specificato per la violazione più grave, tenuto conto dei due parametri stabiliti ai paragrafi 4 e 5 art. 83 GDPR, ossia delle due tipologie di sanzioni amministrative pecuniarie, entrambe determinate in una somma variabile (fino a 10.000.000 € o fino a 20.000.000 €), o in alternativa, per le imprese, fino al 2% o al 4% del fatturato mondiale totale annuo dell’esercizio precedente se superiore rispetto alla sanzione edittale variabile entro il massimo assoluto;
  • il giudice, anche nelle controversie in materia di protezione dei dati personali, può annullare in tutto o in parte il provvedimento o modificarlo anche limitatamente all’entità della sanzione dovuta, determinata in misura non inferiore al minimo edittale.

Sotto il profilo sanzionatorio, la Cassazione ha sostanzialmente evidenziato:

  • la necessità di esaminare l’adeguatezza delle sanzioni in rapporto al caso concreto,
  • e il potere in capo al giudice di annullare, modificare o rideterminare l’entità degli importi, garantendone la proporzionalità rispetto alla gravità della violazione.

Con questa sentenza, la Suprema Corte ha, in definitiva, affermato principi di carattere strettamene tecnico che potranno rivelarsi utili in sede di impugnazione dei provvedimenti del Garante.

Facebook
Twitter
LinkedIn
WhatsApp
L’avvocato Eleonora Lenzi si occupa principalmente di diritto delle imprese ed ha maturato una significativa esperienza in materia di contrattualistica nazionale ed internazionale, tutela

Vuoi ricevere la newsletter informativa dello studio legale Stefanelli&Stefanelli?