La Corte di Cassazione ha recentemente emesso una sentenza (ordinanza numero 27189 del 22 settembre 2023) che stabilisce tre criteri chiave riguardanti le sanzioni previste dall’articolo 83 del GDPR.

La sentenza è nata dal ricorso del Garante privacy contro un provvedimento del Tribunale di Milano che aveva annullato una sanzione amministrativa di 2.600.000 EUR, inflitta a una società per aver violato il GDPR riguardo ai dati dei cosiddetti “rider”. Il Tribunale aveva ritenuto la sanzione eccessiva, ma la Cassazione ha confermato il provvedimento, ritenendo che le sanzioni fossero proporzionate.

La decisione è diventata particolarmente rilevante in quanto fornisce chiarezza e dettagli fondamentali sulla complessa questione delle sanzioni GDPR.

Criteri principali per stabilire le sanzioni:

• Parametro di sanzione: secondo l’interpretazione della Cassazione, l’articolo 83 del GDPR stabilisce le condizioni per imporre sanzioni pecuniarie amministrative, che devono essere effettive, proporzionate e dissuasive in ogni caso specifico. Inoltre, in caso di violazione di diverse disposizioni del GDPR, la sanzione totale non può superare l’importo specificato per la violazione più grave.
• Sanzioni pecuniarie amministrative: il GDPR prevede due tipi di sanzioni. La prima può arrivare fino a 10.000.000 EUR o fino al 2% del fatturato mondiale annuo per le violazioni indicate all’art. 83, par. 4. La seconda può raggiungere 20.000.000 EUR o il 4% del fatturato mondiale annuo per le violazioni indicate al par. 5 dell’articolo 83.
• Potere del giudice di primo grado: il giudice può annullare o ridurre una sanzione, ma non può invalidare il provvedimento se ritiene che la sanzione sia sproporzionata.

Inoltre, riguardo alle questioni di trattamento transfrontaliero di dati, la Cassazione ha stabilito che le autorità di controllo nazionali hanno competenza su trattamenti effettuati sul territorio nazionale da entità lì stabilite. Ciò significa che l’Autorità italiana era competente per le sanzioni in questo caso specifico.

La sentenza della Corte di cassazione fornisce una guida chiara e dettagliata sull’applicazione delle sanzioni in base al GDPR, sottolineando l’importanza di valutare ogni singolo caso e garantendo che le sanzioni siano proporzionate alla gravità della violazione.

Visita il sito di LiquidLaw e la pagina facebook