Criteri delle sanzioni del GDPR: ordinanza storica Cassazione

Con un’ordinanza che gli addetti ai lavori già definiscono storica, la prima sezione civile della Corte di Cassazione, lo scorso 22 settembre 2023, ha accolto integralmente un ricorso presentato dal Garante Privacy avverso una sentenza del Tribunale di Milano nel cosiddetto “caso dei rider” stabilendo i criteri delle sanzioni GDPR ed i parametri cui l’Autorità deve ispirarsi nel comminarle, che sono rilevanza, effettività e proporzionalità.
Per approfondimenti si consiglia il volume: I ricorsi al Garante della privacy -I diritti, i doveri e le sanzioni

Indice

1. La vicenda dei rider e il provvedimento del Garante


Con il provvedimento 243 del 10 giugno 2021 l’Autorità Garante per la protezione dei dati aveva sanzionato una primaria società nel settore del food per aver commesso una serie di violazioni nel trattamento dei dati personali nei confronti dei cd rider, ossia i lavoratori adibiti alle consegne a domicilio degli ordini di cibo o altri prodotti.
La sanzione era stata rilevante, 2,6 milioni di euro, e scaturiva da una serie di violazioni contestate in merito al trattamento dei dati dei lavoratori addetti alle consegne. In particolare il Garante aveva contestato:

  • L’utilizzo della piattaforma digitale di prenotazioni, che non verificava adeguatamente che l’algoritmo di prenotazione/assegnazione degli ordini di cibo/prodotti non determinasse discriminazioni;
  • La profilazione non autorizzata e non informata dei rider stessi;
  • La mancata informativa ai lavoratori circa il funzionamento del sistema sull’esattezza e la correttezza dei risultati dei sistemi algoritmici adoperati per la valutazione dei rider.

2. Il ricorso al Tribunale di Milano


La società così pesantemente sanzionata ricorreva al Tribunale di Milano, il quale annullava il provvedimento del Garante per eccessività della sanzione, motivando la propria decisione sulla sproporzione della multa inflitta senza tenere in conto i ricavi conseguiti dalla società nell’anno precedente, chiuso con perdite di esercizio, e dunque erroneamente quantificando la sanzione in misura superiore al parametro del 4% del fatturato dell’anno precedente.


Potrebbero interessarti anche:

3. Il ricorso in Cassazione


Il garante per la Privacy proponeva ricorso per Cassazione contro la sentenza di primo grado, presentando tre motivi:

  • Violazione o falsa applicazione degli artt. 83 del GDPR in combinato disposto con l’art. 166 del Cod. Privacy circa la presunta ed affermata eccessività della sanzione;
  • Omesso esame di un fatto decisivo circa il metodo di calcolo della sanzione;
  • Violazione o falsa applicazione degli artt. 6 e 10 del D.lgs. n. 150 del 2011 e 166 del Cod. Privacy, poiché anche in materia di dati personali, il giudice è tenuto “a quantificare la sanzione secondo le (ritenute) previsioni di legge, ed eventualmente a rideterminarla in base alla effettiva gravità dei fatti”.

La società replicava con controricorso, opponendosi a quanto affermato dal Garante, e con ricorso incidentale, anch’esso fondato su tre motivi:

  • Poiché la società controllante aveva sede in un territorio extra UE, effettuava un trattamento di dati all’estero;
  • Il profilo della natura transfrontaliera del trattamento dei dati dei rider doveva ravvisarsi a seguito dell’uso/presenza della piattaforma con server fuori Italia;
  • Ne conseguiva carenza di legittimazione del Garante italiano a comminare la sanzione, essendo la capogruppo una società spagnola soggetta all’Autorità garante di quello Stato.

La Cassazione ha respinto integralmente le argomentazioni della controricorrente, cassando la sentenza del Tribunale di Milano e confermando in toto il provvedimento del Garante

4. I principi di diritto in materia di regime sanzionatorio


Preliminarmente, la Corte ha fatto riferimento al GDPR, che all’art. 83 paragrafo 2 detta una serie di elementi specifici sui parametri sanzionatori, vale a dire:

  • la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
  • il carattere doloso o colposo della violazione;
  • le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
  • il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli artt. 25 e 32;
  • eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
  • il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
  • le categorie di dati personali interessate dalla violazione;
  • la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
  • qualora siano stati precedentemente disposti provvedimenti;
  • l’adesione ai codici di condotta approvati o ai meccanismi di certificazione;
  • eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso.

5. I principi stabiliti dalla Cassazione


La Cassazione Civile ha stabilito alcuni principi fondamentali in merito al regime sanzionatorio previsto dal Regolamento Generale sulla Protezione dei Dati (GDPR).
Il primo principio riguarda il criterio della rilevanza del singolo caso, conforme all’articolo 83 del GDPR. La Cassazione sottolinea che l’Autorità di controllo deve garantire che le sanzioni inflitte per le violazioni del GDPR siano “in ogni singolo caso” effettive, proporzionate e dissuasive. Questo principio mira a ridurre la discrezionalità nell’applicazione delle sanzioni, concentrandosi sull’accuratezza del sistema sanzionatorio. Una delle innovazioni più significative del GDPR è la maggiore precisione nel sistema di sanzioni, limitando le valutazioni discrezionali da parte delle singole Autorità di controllo nella determinazione delle sanzioni specifiche.
Il secondo principio riguarda il criterio della proporzionalità, richiamando sempre l’articolo 83 del GDPR, paragrafi 4 e 5, che stabiliscono gli scaglioni delle sanzioni, che possono arrivare fino a 10.000.000 di euro o fino a 20.000.000 di euro, a seconda del tipo di violazione.
La Cassazione precisa che il riferimento alla sanzione proporzionale non ha lo scopo di limitare la sanzione variabile ordinaria, ma rappresenta un limite edittale aggiuntivo che si applica solo se superiore al massimo della sanzione principale.
In altre parole, l’autorità di controllo deve determinare la sanzione amministrativa pecuniaria in modo proporzionato a ciascun caso specifico, richiamando le disposizioni dell’articolo 83 del GDPR. Il GDPR prevede due tipi di sanzioni: una principale, con un ammontare variabile tra un minimo e un massimo, e una secondaria, determinata in proporzione al fatturato annuo.
Inoltre, la Cassazione stabilisce che il giudice può annullare, modificare o rideterminare l’importo della sanzione, ma in ogni caso non può stabilire una sanzione inferiore al minimo edittale. Ancora, l’autorità di controllo competente per i trattamenti transfrontalieri è definita in base al GDPR, che stabilisce che l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare del trattamento o del responsabile del trattamento agisce come autorità di controllo capofila per i trattamenti transfrontalieri effettuati da tale titolare del trattamento o responsabile del trattamento.
Infine, la Cassazione sottolinea l’importanza di valutare la titolarità del trattamento dei dati e il livello di autonomia decisionale del titolare del trattamento rispetto alle modalità dettate dal funzionamento di una piattaforma informatica. Nel caso dei trattamenti dei dati dei rider operanti in Italia, questa valutazione richiede un’analisi dei singoli contratti stipulati, in cui di solito sono definiti i dettagli delle modalità e delle regole che regolano tali trattamenti.

Volume consigliato

FORMATO CARTACEO

I ricorsi al Garante della privacy

Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.

Michele Iaselli | Maggioli Editore 2022

Avv. Luisa Di Giacomo

Scrivi un commento

Accedi per poter inserire un commento