ThinkTank_Logo_nero
L'attesa è finita
Ailance™ ThinkTank è qui!
Per saperne di più

Cos'è un'azienda secondo il GDPR? La Corte di giustizia europea inasprisce il calcolo delle multe

Che cos'è un'azienda secondo il GDPR?
Categorie:
, ,

Il 13 febbraio 2025, la Corte di giustizia europea (CGUE) ha emesso una sentenza nella causa C-383/23 che potrebbe avere conseguenze di vasta portata per il calcolo delle ammende ai sensi del Regolamento generale sulla protezione dei dati (GDPR). La decisione si è incentrata sulla questione se il termine "impresa" di cui all'art. 83, paragrafi da 4 a 6, del GDPR debba essere interpretato ai sensi del diritto della concorrenza dell'UE. In caso affermativo, il fatturato totale di un gruppo di società potrebbe essere preso in considerazione nella valutazione di una multa se una filiale viola il GDPR.

Il contesto del caso

Il caso riguarda la catena danese di negozi di mobili ILVA A/S, una filiale del gruppo Lars Larsen. L'ILVA è stata accusata dalla procura danese di violazione del Regolamento generale sulla protezione dei dati (GDPR). L'azienda avrebbe conservato i dati personali di almeno 350.000 ex clienti per un periodo di tempo irragionevolmente lungo. Ciò sarebbe avvenuto senza una base legale e in contrasto con i requisiti del GDPR in materia di minimizzazione e limitazione della conservazione dei dati.

A seguito di un'indagine, l'agenzia danese per la protezione dei dati Datatilsyn è giunta alla conclusione che l'infrazione deve essere classificata come grave. Ha raccomandato una multa di 1,5 milioni di corone danesi (circa 201.000 euro). Il calcolo di questa multa non si è basato solo sul fatturato dell'ILVA, ma ha incluso anche il fatturato totale della società madre Lars Larsen Group. L'autorità ha sostenuto che l'unità economica era decisiva per l'importo della multa. L'effetto deterrente poteva essere garantito solo se l'ammenda era basata sul fatturato dell'intero gruppo.

Tuttavia, il tribunale di prima istanza, il Ret i Aarhus (Tribunale di Aarhus, Danimarca), ha ridotto significativamente la multa a 100.000 DKK (circa 13.400 euro). La decisione si è basata sul fatto che solo l'ILVA come entità legale era oggetto del procedimento e non l'intero gruppo. Il tribunale ha inoltre ritenuto che in questo caso l'ILVA abbia agito con negligenza ma non con dolo.

Il pubblico ministero danese ha presentato ricorso contro questa sentenza al Vestre Landsret (Tribunale regionale per la Danimarca occidentale). Ha sostenuto che il termine "impresa" di cui all'art. 83, paragrafi da 4 a 6, del GDPR deve essere interpretato in conformità al concetto di impresa ai sensi del diritto dell'UE. Di conseguenza, nel calcolo dell'ammenda si deve tenere conto del fatturato totale dell'entità economica, ossia del gruppo. Ciò ha portato al rinvio del caso alla Corte di giustizia europea per ottenere un chiarimento vincolante su questa questione legale.

Queste questioni giuridiche sono state sottoposte alla Corte di giustizia europea

Il Vestre Landsret ha sottoposto alla Corte di giustizia europea due questioni fondamentali:

  1. Il termine "impresa" di cui all'art. 83, paragrafi da 4 a 6, del GDPR deve essere inteso in conformità con il diritto della concorrenza dell'UE, ossia include qualsiasi entità economica indipendentemente dalla sua forma giuridica?
  2. In caso affermativo, per il calcolo dell'ammenda si deve prendere in considerazione il fatturato annuo totale dell'entità economica o solo il fatturato della specifica filiale?

Suggerimento di lettura: Sentenza della Corte di giustizia europea sulle multe del GDPR: quale discrezionalità ha l'autorità di protezione dei dati?

CGUE: le società devono essere interpretate in base al diritto della concorrenza

La Corte di giustizia europea ha stabilito che il termine "impresa" di cui all'art. 83, paragrafi da 4 a 6, del GDPR deve essere interpretato in conformità al diritto della concorrenza. La Corte segue quindi la sua precedente giurisprudenza in materia di responsabilità delle imprese ai sensi del diritto della concorrenza, in conformità agli articoli 101 e 102 del TFUE.

Nelle motivazioni dettagliate della sentenza, la Corte di giustizia europea ha sottolineato che il GDPR non deve essere considerato in modo isolato. Deve essere compreso nel contesto della legislazione economica dell'UE. Ciò significa che il termine "impresa" non è limitato a singole persone giuridiche, ma comprende l'intera entità economica, che può includere anche società madri e controllate.

La Corte di giustizia europea ha inoltre chiarito che una multa per una violazione del GDPR non può essere calcolata solo sulla base del fatturato della filiale direttamente responsabile. Piuttosto, il fatturato totale del gruppo è rilevante se la società interessata è parte integrante dell'unità economica e la società madre influenza le sue decisioni commerciali.

Un aspetto centrale della sentenza è stata la questione se e in che misura la realtà economica prevalga sulla considerazione giuridica. La Corte ha confermato che il principio dell'"unità economica" è già sancito dal diritto della concorrenza dell'UE e si applica anche all'applicazione del GDPR. Ciò impedisce alle aziende di evitare multe più basse attraverso una complessa strutturazione interna.

Infine, la Corte di giustizia ha affrontato l'impatto sull'effetto deterrente delle ammende previste dal GDPR. Un'ammenda che tenga conto solo del fatturato di una filiale potrebbe rappresentare una sanzione relativamente bassa per i grandi gruppi e quindi non avere l'effetto deterrente desiderato. Un approccio a livello di gruppo è quindi necessario per garantire che le multe siano proporzionate ed efficaci.

La Corte di giustizia europea è pragmatica nel suo ragionamento

Con la sua sentenza, la Corte di giustizia europea persegue un approccio pragmatico volto a garantire l'effettiva attuazione del GDPR senza trascurare i diritti delle aziende interessate.

Il ragionamento della Corte di giustizia si basa sulle seguenti argomentazioni:

  1. Obiettivo dell'armonizzazione del GDPR: Il GDPR persegue l'obiettivo di un'applicazione uniforme della normativa sulla protezione dei dati in tutta l'Unione europea. Per garantire ciò, le multe non solo devono essere efficaci e proporzionate, ma devono anche avere un effetto deterrente. La Corte di giustizia europea ha sottolineato che si deve evitare che le grandi aziende aggirino l'applicazione delle norme sulle ammende attraverso un'abile strutturazione aziendale, ricevendo così ammende più basse.
  2. Paralleli nel diritto della concorrenza: La Corte di giustizia europea ha basato la sua decisione sul concetto di impresa ai sensi degli articoli 101 e 102 del TFUE. Secondo questo concetto, un'entità economica viene considerata come un insieme, indipendentemente dal numero di persone giuridiche che la compongono. Ciò significa che la realtà economica viene posta al di sopra della struttura giuridica formale. In questo modo si vuole evitare che le società si sottraggano alla responsabilità dividendosi al loro interno.
  3. Effetto deterrente delle sanzioni: La Corte ha sottolineato che un'ammenda basata esclusivamente sul fatturato della controllata direttamente interessata rappresenta spesso un onere economico trascurabile per le grandi multinazionali. Per garantire un effetto deterrente sufficiente, è quindi necessario prendere in considerazione il fatturato dell'intera entità economica. In questo modo si eviterebbe anche che i gruppi compromettano i meccanismi sanzionatori del GDPR creando numerose piccole filiali.
  4. Principio di proporzionalità: Allo stesso tempo, la Corte di Giustizia europea ha chiarito che il principio di proporzionalità deve sempre essere osservato nel calcolo dell'ammenda. Ciò significa che non si applica automaticamente l'ammenda più alta, ma che si devono prendere in considerazione tutte le circostanze individuali del caso, come il tipo, la gravità e la durata dell'infrazione, nonché la volontà dell'azienda di cooperare con le autorità di vigilanza.

Effetti sulla pratica aziendale

La decisione della Corte di giustizia europea ha implicazioni di vasta portata per il calcolo e l'imposizione di ammende ai sensi del GDPR. Comporta cambiamenti significativi, in particolare per le aziende e i gruppi che operano a livello internazionale. Le principali conseguenze possono essere suddivise in diversi aspetti chiave:

  1. Estensione della responsabilità per i gruppi aziendali: La conferma del principio dell'unità economica significa che le società madri sono potenzialmente più responsabili per le violazioni della protezione dei dati commesse dalle loro filiali. Ciò significa che le violazioni non vengono considerate solo a livello di società, ma anche a livello di gruppo, il che aumenta significativamente l'esposizione al rischio per i gruppi di società.
  2. Aumento delle multe: Poiché il fatturato totale dell'entità economica può essere utilizzato come base per il calcolo delle ammende, nella pratica le sanzioni potrebbero essere significativamente più elevate rispetto al passato. Ciò può avere notevoli conseguenze finanziarie, in particolare per le grandi società multinazionali con un elevato fatturato totale.
  3. Nuove strategie di conformità: Le aziende devono prestare maggiore attenzione a garantire che tutte le filiali rispettino le severe linee guida sulla protezione dei dati. Ciò significa che la gestione della protezione dei dati deve essere sistematicamente estesa a interi gruppi aziendali. I meccanismi di audit interno e le strutture di controllo diventeranno sempre più importanti per prevenire le violazioni a livello di gruppo.
  4. Aumento della pressione sulle strutture aziendali: I gruppi aziendali devono definire più chiaramente le proprie responsabilità interne e garantire che la conformità al GDPR non sia limitata a una singola entità legale. La giurisprudenza potrebbe indurre le aziende a ripensare la struttura del gruppo per gestire meglio i rischi.
  5. Armonizzazione delle sanzioni all'interno dell'UE: Facendo riferimento al diritto della concorrenza, la Corte di giustizia europea sta creando una maggiore armonizzazione delle sanzioni per le violazioni del GDPR in tutta l'Unione europea. Ciò garantisce un'applicazione più standardizzata delle disposizioni e impedisce ai singoli Stati membri di consentire sanzioni più indulgenti attraverso interpretazioni diverse.
  6. Un forte deterrente per le aziende: La decisione garantisce che i reati in materia di protezione dei dati non possano più essere compensati con sanzioni relativamente basse. Le aziende devono ora garantire che la conformità alla protezione dei dati rimanga un elemento centrale della governance aziendale per evitare sanzioni finanziarie elevate.

Conclusione

La sentenza della Corte di giustizia europea nella causa C-383/23 rappresenta una pietra miliare significativa nell'applicazione del GDPR e rafforza notevolmente l'efficacia dei regolamenti sulla protezione dei dati nell'Unione europea. La decisione dimostra che i principi del diritto della concorrenza possono essere applicati anche alle sanzioni in materia di protezione dei dati, al fine di garantire sanzioni efficaci ed eque per le violazioni.

L'inclusione del fatturato del gruppo come base per il calcolo delle ammende garantisce che anche i grandi gruppi aziendali siano ritenuti adeguatamente responsabili delle violazioni della protezione dei dati. Ciò impedisce ai gruppi di poter evitare o minimizzare le sanzioni attraverso un'abile strutturazione interna. La decisione contribuisce quindi a stabilire un'applicazione uniforme ed equa del GDPR in tutta l'UE.

Inoltre, la sentenza invia un chiaro segnale alle aziende: le violazioni della protezione dei dati possono avere gravi conseguenze finanziarie. L'effetto deterrente di questa sentenza motiverà le aziende a integrare ancora di più la conformità alla protezione dei dati nelle loro strategie aziendali e a garantire che tutte le filiali rispettino i requisiti del GDPR.

Nel complesso, la sentenza contribuisce a rafforzare l'applicazione del GDPR, stabilendo standard chiari per la valutazione delle multe e incoraggiando le aziende a considerare la protezione dei dati come un obbligo legale ed etico fondamentale. Questa decisione avrà senza dubbio un impatto a lungo termine sulla progettazione delle politiche di protezione dei dati e delle strutture aziendali.

Fonte: Sentenza della Corte di giustizia del 13 febbraio 2025 (C-383/23)

Contattateci
Tag:
,
Condividi questo post :

Categorie più popolari

Newsletter

Iscrivetevi alla nostra newsletter sulla protezione dei dati per ricevere gli ultimi aggiornamenti, consigli e approfondimenti direttamente nella vostra casella di posta elettronica.
Abbonarsi

Ultimi messaggi

it_ITItalian
de_DEGerman en_USEnglish fr_FRFrench it_ITItalian