La Corte di Giustizia dell’Unione Europea sull’interpretazione della nozione di impresa ai fini delle sanzioni pecuniarie nel Regolamento (UE) 2016/679

La quinta sezione della Corte di Giustizia dell’Unione Europea, con sentenza del 13 febbraio 2025, pronunciata nella causa C-383/23, ha affermato che l’art. 83, paragrafi da 4 a 6, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che: il termine «impresa», di cui a tali disposizioni, corrisponde alla nozione di «impresa», ai sensi degli articoli 101 e 102 TFUE, cosicché, quando viene inflitta una sanzione pecuniaria per violazione del regolamento 2016/679 a un titolare del trattamento di dati personali, che è o fa parte di un’impresa, l’importo massimo della sanzione pecuniaria è determinato sulla base di una percentuale del fatturato mondiale totale annuo dell’esercizio precedente dell’impresa. La nozione di «impresa» deve altresì essere presa in considerazione per valutare la capacità economica reale o materiale del destinatario della sanzione pecuniaria e verificare così se la sanzione pecuniaria sia al contempo effettiva, proporzionata e dissuasiva. L’art. 83, paragrafi da 4 a 6, del Regolamento (UE) 2016/679 (in prosieguo: il «RGPD») va inoltre letto alla luce del considerando 150 di tale Regolamento; secondo tale considerando al fine di rafforzare e armonizzare le sanzioni amministrative applicabili per violazione del presente regolamento, ogni autorità di controllo dovrebbe avere la possibilità di imporre sanzioni amministrative pecuniarie. Il presente Regolamento dovrebbe, inoltre, specificare le violazioni, indicare il limite massimo e i criteri per prevedere la relativa sanzione amministrativa pecuniaria, che dovrebbe essere stabilita dall’autorità di controllo competente in ogni caso, tenuto conto di tutte le circostante pertinenti della situazione specifica, in particolare della natura, gravità e durata dell’infrazione e delle relative conseguenze, nonché delle misure adottate per assicurare la conformità agli obblighi derivanti dal presente regolamento e prevenire o attuare le conseguenze della violazione. Nel caso in cui le sanzioni siano inflitte a imprese, queste devono essere intese nel senso definito dagli articoli 101 e 102 TFUE. Inoltre, va considerato che la sanzione pecuniaria, se inflitta da un giudice penale nell'ambito di un procedimento penale, obbliga quest'ultimo a rispettare in ogni fase le norme applicabili in materia penale, tra cui, in particolare, i diritti processuali a favore dell'imputato e il principio di proporzionalità della pena, come garantiti dalla Carta dei diritti fondamentali dell'Unione europea. A questo proposito, l'art. 83 del RGPD stabilisce che le autorità di controllo competenti debbano, senza alcuna eccezione, garantire il rispetto del principio di proporzionalità nel determinare l'importo concreto della sanzione pecuniaria inflitta, al fine di trovare un equilibrio adeguato tra le esigenze dell’interesse generale ai fini della protezione dei dati personali e quelle della tutela dei diritti del titolare del trattamento di tali dati, del responsabile di tale trattamento o dell’impresa di cui essi fanno parte. Invero, il paragrafo 2 della stessa norma esige che l’autorità di controllo competente, al fine di decidere se infliggere una sanzione amministrativa pecuniaria e fissare l’importo di quest’ultima, tenga debitamente conto, in ciascun caso di specie, di un certo numero di elementi. Tra tali elementi figurano, in particolare la natura, la gravità e la durata della violazione, il numero di interessati lesi dal danno e il livello del danno da essi subito, il carattere doloso o colposo della violazione, le misure adottate dal titolare del trattamento dei dati personali o dal responsabile di tale trattamento per attenuare il danno subito, il grado di responsabilità di tale titolare o di tale responsabile e le categorie di dati personali interessate dalla violazione. Tali elementi servono quindi a garantire che ciascuna delle violazioni sia valutata sulla base di tutte le circostanze individuali pertinenti e che gli obiettivi perseguiti dal sistema sanzionatorio previsto dal RGPD siano raggiunti, e sebbene non facciano riferimento alla nozione di impresa ai sensi degli artt. 101 e 102 TFUE, la Corte ha già dichiarato che solo una sanzione pecuniaria che tiene conto non solo di tutti gli elementi che caratterizzano in tal modo le violazioni constatate del RGPD, ma anche, se del caso, della capacità economica reale o materiale del suo destinatario può soddisfare le tre condizioni enunciate all’art. 83, paragrafo 1, del RGPD, vale a dire essere allo stesso tempo effettiva, proporzionata e dissuasiva.