Una recente ordinanza della Cassazione, la n. 21789 del 22 settembre 2023, definisce dei parametri essenziali in tema di controversie aventi ad oggetto dati personali e impugnazioni dei provvedimenti da parte del Garante Privacy, in riferimento soprattutto alle sanzioni correlate alle violazione di cui all’art. 83 del GDPR.

Si viene in questo modo a creare un’interpretazione più diretta di quelle che sono le norme del GDPR, definendo anche i poteri del giudice in sede di opposizione al provvedimento del Garante stesso, come anche la competenza dell’Autorità di protezione dati diversa rispetto all’Autorità capofila nel trattamento dei dati di carattere transfrontaliero.

In particolare, la questione in esame riguarda una società nota di food delivery e il trattamento dei dati personali dei suoi lavoratori diventati oggetto di un provvedimento da parte del Garante, il quale mirava ad accertare  la responsabilità della stessa società in riferimento ad  alcune violazioni del GDPR e, come rappresentato dai parametri esposti al suo interno dall’art. 83 p.3, dette violazioni si sono cumulate giuridicamente dando luogo a un concorso di illeciti, con la conseguente applicazione della rispettiva sanzione amministrativa pecuniaria.

Il Garante, nell’irrogare la sanzione, ha previsto anche quella accessoria della pubblicazione, con una somma totale pari a 2.600.000. Con tale valutazione, però, a parer del Tribunale non sono stati rispettati i parametri dell’art. 83 par. 5 lett. a del GDPR in quanto superiore al massimo edittale del 4% del fatturato mondiale totale annuo dell’esercizio precedente.

A seguito del ricorso proposto dalla Società in questione, il Tribunale di Milano con la sentenza n. 3276/2022 ordina l’annullamento dell’intera sanzione per via della sua eccessività e “senza possibilità per il giudice adito di modificare l’entità della pena pecuniaria”, ritenendo tale prerogativa un potere che non gli viene di fatto attribuito dall’art.10 del d.lgs 150 del 2011.

Sul punto, il Garante Privacy procede con un ricorso che la Cassazione accoglie con ordinanza, la cui motivazione stabilisce dei principi cardini in materia.

Tra i principali, il primo statuisce la rilevanza del singolo caso in conformità all’art. 83 del GDPR, in modo che le sanzioni irrogate per violazione dello stesso siano proporzionate, effettive e dissuasive per ogni singolo caso, e ricordando a tal proposito come tra le novità importanti del GDPR vi sia proprio una “maggiore accuratezza del sistema sanzionatorio” e che, attraverso i criteri di cui all’art. 83, ne limita una valutazione discrezionale da parte delle Autorità garanti nella determinazione in concreto della relativa sanzione.

D’altro canto, invece, un altro principio rilevante prodotto dall’ordinanza in esame stabilisce che “Il Giudice può annullare in tutto o in parte il provvedimento o modificarlo anche limitatamente all’entità della sanzione dovuta, determinata in una misura in ogni caso non inferiore al minimo edittale” tenendo conto della specificità ed effettività del caso concreto.

Dott.ssa Serenella Angelini