Cos'è un'azienda secondo il GDPR? La Corte di giustizia europea inasprisce il calcolo delle multe

Che cos'è un'azienda secondo il GDPR?
Categorie:
, ,

Il 13 febbraio 2025, la Corte di giustizia europea (CGUE) ha emesso una sentenza nella causa C-383/23 che ha conseguenze di vasta portata per il calcolo delle ammende ai sensi del Regolamento generale sulla protezione dei dati (GDPR) avrebbe potuto. La decisione si è incentrata sulla questione se il termine "impresa" di cui all'art. 83, par. 4-6, sia o meno un'impresa. GDPR deve essere interpretato nel senso del diritto della concorrenza dell'UE. Il fatturato totale di un gruppo potrebbe quindi essere preso in considerazione per la valutazione di un'ammenda nel caso in cui una filiale violi la normativa sulla concorrenza. GDPR viola.

Il contesto del caso

Il caso riguarda la catena danese di negozi di mobili ILVA A/S, una filiale del gruppo Lars Larsen. ILVA è stata perseguita dalla procura danese per una violazione del Regolamento generale sulla protezione dei dati (GDPR) è stata accusata. L'azienda avrebbe Dati personali di almeno 350.000 ex clienti per un periodo di tempo irragionevolmente lungo. Ciò sarebbe stato fatto senza una base legale e in contrasto con i requisiti della legge. GDPR per quanto riguarda la minimizzazione dei dati e la limitazione della conservazione.

A seguito di un'indagine, l'Agenzia danese per la protezione dei dati Datatilsyn è giunta alla conclusione che la Violazione è stato classificato come grave. La Commissione ha raccomandato una multa di 1,5 milioni di corone danesi (circa 201.000 euro). Il calcolo dell'ammenda non si è basato solo sul fatturato dell'ILVA, ma ha incluso anche il fatturato totale della società madre Lars Larsen Group. L'autorità ha sostenuto che l'unità economica era decisiva per l'importo dell'ammenda. L'effetto deterrente poteva essere garantito solo se l'ammenda era basata sul fatturato dell'intero gruppo.

Tuttavia, il tribunale di prima istanza, il Ret i Aarhus (Tribunale di Aarhus, Danimarca), ha ridotto significativamente la multa a 100.000 DKK (circa 13.400 euro). La decisione si è basata sul fatto che solo l'ILVA come entità legale era oggetto del procedimento e non l'intero gruppo. Il tribunale ha inoltre ritenuto che in questo caso l'ILVA abbia agito con negligenza ma non con dolo.

Il pubblico ministero danese ha presentato appello contro questa sentenza al Vestre Landsret (Tribunale regionale per la Danimarca occidentale). Ha sostenuto che il termine "impresa" di cui all'art. 83, paragrafi da 4 a 6, non è stato utilizzato. GDPR deve essere interpretato in base al concetto di impresa ai sensi del diritto dell'UE. Di conseguenza, nel calcolo dell'ammenda si deve tenere conto del fatturato totale dell'entità economica, cioè del gruppo. Ciò ha portato al rinvio del caso alla Corte di giustizia europea per ottenere un chiarimento vincolante su questa questione legale.

Queste questioni giuridiche sono state sottoposte alla Corte di giustizia europea

Il Vestre Landsret ha sottoposto alla Corte di giustizia europea due questioni fondamentali:

  1. Il termine "impresa" di cui all'art. 83, commi da 4 a 6, è o non è? GDPR in conformità con il diritto della concorrenza dell'UE, ossia include qualsiasi entità economica a prescindere dalla sua forma giuridica?
  2. In caso affermativo, per il calcolo dell'ammenda si deve prendere in considerazione il fatturato annuo totale dell'entità economica o solo il fatturato della specifica filiale?

Suggerimento di lettura: Sentenza della Corte di giustizia europea sulle multe del GDPR: quale discrezionalità ha l'autorità di protezione dei dati?

CGUE: le società devono essere interpretate in base al diritto della concorrenza

La Corte di giustizia europea ha stabilito che il termine "impresa" di cui all'art. 83, paragrafi da 4 a 6, non è stato utilizzato per indicare il termine "impresa". GDPR deve essere interpretato in conformità al diritto della concorrenza. La Corte di giustizia si attiene quindi alla sua precedente giurisprudenza in materia di responsabilità delle imprese nell'ambito del diritto della concorrenza ai sensi degli articoli 101 e 102 del TFUE.

Nelle motivazioni dettagliate della sentenza, la Corte di Giustizia europea ha sottolineato che la GDPR non deve essere considerato in modo isolato. Deve essere compreso nel contesto della legislazione economica dell'UE. Ciò significa che il termine "impresa" non si limita a singole persone giuridiche, ma comprende l'intera entità economica, che può includere anche società madri e controllate.

La Corte di giustizia europea ha inoltre chiarito che una multa per una violazione del GDPR non può essere calcolata esclusivamente sulla base del fatturato della filiale direttamente responsabile. Piuttosto, è rilevante il fatturato complessivo del gruppo, a condizione che il colpiti La società è parte integrante dell'entità economica e la società madre influenza le sue decisioni aziendali.

Un aspetto centrale della sentenza è stata la questione se e in che misura la realtà economica prevalga sulla visione giuridica. La Corte ha confermato che il principio di "unità economica" è già sancito dal diritto della concorrenza dell'UE e non è rilevante ai fini dell'applicazione della direttiva. GDPR si applicano in egual misura. Questo impedisce alle aziende di aggirare le multe più basse attraverso una complessa strutturazione interna.

Infine, la CGUE ha affrontato l'impatto sull'effetto deterrente delle ammende ai sensi del GDPR. Un'ammenda che tenga conto solo del fatturato di una controllata potrebbe rappresentare una sanzione relativamente bassa per i grandi gruppi e quindi non avere l'effetto deterrente desiderato. Un approccio a livello di gruppo è quindi necessario per garantire che le multe siano proporzionate ed efficaci.

La Corte di giustizia europea è pragmatica nel suo ragionamento

Con la sua sentenza, la Corte di giustizia europea persegue un approccio pragmatico che garantisce l'effettiva attuazione del diritto comunitario. GDPR senza trascurare i diritti delle aziende interessate.

Il ragionamento della Corte di giustizia si basa sulle seguenti argomentazioni:

  1. Obiettivo dell'armonizzazione GDPR: Il GDPR persegue l'obiettivo di un'applicazione armonizzata della normativa sulla protezione dei dati in tutta l'Unione europea. Per garantire questo obiettivo, le multe non solo devono essere efficaci e proporzionate, ma devono anche avere un effetto deterrente. La Corte di giustizia europea ha sottolineato che bisogna evitare che le grandi aziende aggirino l'applicazione delle norme sulle ammende attraverso un'abile strutturazione societaria, ricevendo così ammende più basse.
  2. Paralleli nel diritto della concorrenza: La Corte di giustizia europea ha basato la sua decisione sul concetto di impresa ai sensi degli articoli 101 e 102 del TFUE. Secondo questo concetto, un'entità economica viene considerata come un insieme, indipendentemente dal numero di persone giuridiche che la compongono. Ciò significa che la realtà economica viene posta al di sopra della struttura giuridica formale. In questo modo si vuole evitare che le società si separino l'una dall'altra a causa della divisione interna delle responsabilità delle persone giuridiche. Responsabilità civile ritirarsi.
  3. Effetto deterrente delle sanzioni: La Corte ha sottolineato che un'ammenda basata esclusivamente sul fatturato della controllata direttamente interessata rappresenta spesso un onere economico trascurabile per le grandi multinazionali. Per garantire un effetto deterrente sufficiente, è quindi necessario prendere in considerazione il fatturato dell'intera entità economica. In questo modo si eviterebbe anche che i gruppi compromettano i meccanismi sanzionatori del GDPR creando numerose piccole filiali.
  4. Principio di proporzionalità: Allo stesso tempo, la Corte di Giustizia europea ha chiarito che il principio di proporzionalità deve sempre essere osservato nel calcolo dell'ammenda. Ciò significa che non si applica automaticamente l'ammenda più alta, ma che si devono prendere in considerazione tutte le circostanze individuali del caso, come il tipo, la gravità e la durata dell'infrazione, nonché la volontà dell'azienda di cooperare con le autorità di vigilanza.

Effetti sulla pratica aziendale

La decisione della Corte di Giustizia europea ha implicazioni di vasta portata per il calcolo e l'imposizione di ammende ai sensi della GDPR. Comporta cambiamenti significativi, in particolare per le imprese e i gruppi che operano a livello internazionale. Le principali conseguenze possono essere suddivise in diversi aspetti chiave:

  1. Esteso Responsabilità civile per i gruppi aziendali: La conferma del principio dell'unità economica significa che le società madri sono potenzialmente più coinvolte nella gestione del mercato. Responsabilità civile per le violazioni della protezione dei dati da parte delle loro filiali. Ciò significa che le violazioni non vengono considerate solo a livello aziendale, ma anche a livello di gruppo, il che aumenta significativamente l'esposizione al rischio per i gruppi aziendali.
  2. Aumento delle multe: Poiché il fatturato totale dell'entità economica può essere utilizzato come base per il calcolo delle ammende, nella pratica le sanzioni potrebbero essere significativamente più elevate rispetto al passato. Ciò può avere notevoli conseguenze finanziarie, in particolare per le grandi società multinazionali con un elevato fatturato totale.
  3. Nuove strategie di conformità: Le aziende devono prestare maggiore attenzione a garantire che tutte le filiali rispettino le severe linee guida sulla protezione dei dati. Ciò significa che la gestione della protezione dei dati deve essere sistematicamente estesa a interi gruppi aziendali. I meccanismi di revisione interna e le strutture di controllo diventeranno sempre più importanti per prevenire le violazioni a livello di gruppo.
  4. Aumento della pressione sulle strutture aziendali: I gruppi aziendali devono definire più chiaramente le proprie responsabilità interne e garantire che la conformità al GDPR non sia limitata a una singola entità legale. La giurisprudenza potrebbe indurre le aziende a ripensare la propria struttura di gruppo per gestire meglio i rischi.
  5. Armonizzazione delle sanzioni all'interno dell'UE: Facendo riferimento al diritto della concorrenza, la Corte di giustizia europea sta creando una maggiore armonizzazione delle sanzioni per le violazioni del GDPR in tutta l'Unione europea. Ciò garantisce un'applicazione più standardizzata delle disposizioni e impedisce ai singoli Stati membri di consentire sanzioni più indulgenti attraverso interpretazioni diverse.
  6. Un forte deterrente per le aziende: La decisione garantisce che i reati in materia di protezione dei dati non possano più essere compensati con sanzioni relativamente basse. Le aziende devono ora garantire che la conformità alla protezione dei dati rimanga un elemento centrale della governance aziendale per evitare sanzioni finanziarie elevate.

Conclusione

La sentenza della Corte di giustizia europea nella causa C-383/23 rappresenta una pietra miliare significativa nell'applicazione del diritto di proprietà intellettuale. GDPR e rafforza in modo significativo l'efficacia dei regolamenti sulla protezione dei dati nell'Unione europea. La decisione dimostra che i principi del diritto della concorrenza possono essere applicati anche alle sanzioni in materia di protezione dei dati, al fine di garantire sanzioni efficaci ed eque per le violazioni.

L'inclusione del fatturato del gruppo come base per il calcolo delle ammende garantisce che anche i grandi gruppi aziendali siano ritenuti adeguatamente responsabili delle violazioni della protezione dei dati. Ciò impedisce ai gruppi di evitare o minimizzare le sanzioni attraverso un'abile strutturazione interna. La decisione contribuisce quindi a garantire un'applicazione uniforme ed equa della legge. GDPR in tutta l'UE.

Inoltre, la sentenza invia un chiaro segnale alle aziende: le violazioni della protezione dei dati possono avere gravi conseguenze finanziarie. L'effetto deterrente di questa sentenza motiverà le aziende a integrare ancora di più la conformità alla protezione dei dati nelle loro strategie aziendali e a garantire che tutte le filiali soddisfino i requisiti della direttiva. GDPR corrispondere.

Complessivamente, la sentenza contribuisce all'applicazione del GDPR stabilendo standard chiari per la valutazione delle ammende e incoraggiando le aziende a farlo, Protezione dei dati come obbligo legale ed etico centrale. Questa decisione avrà senza dubbio un impatto a lungo termine sulla progettazione delle politiche di protezione dei dati e delle strutture aziendali.

Fonte: Sentenza della Corte di giustizia del 13 febbraio 2025 (C-383/23)

Contattateci
Tag:
,
Condividi questo post :

Categorie più popolari

Newsletter

Iscrivetevi alla nostra newsletter sulla protezione dei dati per ricevere gli ultimi aggiornamenti, consigli e approfondimenti direttamente nella vostra casella di posta elettronica.
Abbonarsi

Ultimi messaggi