EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 62021CC0807
Opinion of Advocate General Campos Sánchez-Bordona delivered on 27 April 2023.#Deutsche Wohnen SE v Staatsanwaltschaft Berlin.#Request for a preliminary ruling from the Kammergericht Berlin.#Reference for a preliminary ruling – Protection of personal data – Regulation (EU) 2016/679 – Article 4(7) – Concept of ‘controller’ – Article 58(2) – Powers of supervisory authorities to apply corrective measures – Article 83 – Imposition of administrative fines on a legal person – Conditions – Discretion of the Member States – Requirement that the infringement be intentional or negligent.#Case C-807/21.
Conclusioni dell’avvocato generale M. Campos Sánchez-Bordona, presentate il 27 aprile 2023.
Deutsche Wohnen SE contro Staatsanwaltschaft Berlin.
Domanda di pronuncia pregiudiziale proposta dal Kammergericht Berlin.
Rinvio pregiudiziale - Protezione dei dati personali - Regolamento (UE) 2016/679 - Articolo 4, punto 7 - Nozione di “titolare del trattamento” - Articolo 58, paragrafo 2 - Poteri correttivi delle autorità di controllo - Articolo 83 - Imposizione di sanzioni amministrative pecuniarie a una persona giuridica - Presupposti - Margine di manovra degli Stati membri.
Causa C-807/21.
Conclusioni dell’avvocato generale M. Campos Sánchez-Bordona, presentate il 27 aprile 2023.
Deutsche Wohnen SE contro Staatsanwaltschaft Berlin.
Domanda di pronuncia pregiudiziale proposta dal Kammergericht Berlin.
Rinvio pregiudiziale - Protezione dei dati personali - Regolamento (UE) 2016/679 - Articolo 4, punto 7 - Nozione di “titolare del trattamento” - Articolo 58, paragrafo 2 - Poteri correttivi delle autorità di controllo - Articolo 83 - Imposizione di sanzioni amministrative pecuniarie a una persona giuridica - Presupposti - Margine di manovra degli Stati membri.
Causa C-807/21.
Court reports – general
ECLI identifier: ECLI:EU:C:2023:360
CONCLUSIONI DELL’AVVOCATO GENERALE
M. CAMPOS SÁNCHEZ-BORDONA
presentate il 27 aprile 2023 ( 1 )
Causa C‑807/21
Deutsche Wohnen SE
contro
Staatsanwaltschaft Berlin
[domanda di pronuncia pregiudiziale, proposta dal Kammergericht Berlin (Tribunale superiore del Land di Berlino, Germania)]
«Rinvio pregiudiziale – Protezione dei dati personali – Regolamento (UE) 2016/679 – Infrazioni – Imputazione a un’impresa di un’infrazione commessa dai suoi dipendenti – Possibile responsabilità senza colpa – Recepimento di nozioni sviluppate nel diritto della concorrenza»
1. |
Il presente rinvio pregiudiziale offre alla Corte l’opportunità di pronunciarsi sulle condizioni alle quali è possibile imporre una sanzione amministrativa pecuniaria ad una persona giuridica per violazioni del regolamento (UE) 2016/679 ( 2 ). |
2. |
Si tratta, in particolare, di determinare:
|
I. Contesto normativo
A. Diritto dell’Unione. L’RGPD
3. |
Il considerando 74 dell’RGPD afferma che: «È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche». |
4. |
Il considerando 150 di tale regolamento così recita: «Al fine di rafforzare e armonizzare le sanzioni amministrative applicabili per violazione del presente regolamento, ogni autorità di controllo dovrebbe poter imporre sanzioni amministrative pecuniarie. Il presente regolamento dovrebbe specificare le violazioni, indicare il limite massimo e i criteri per prevedere la relativa sanzione amministrativa pecuniaria, che dovrebbe essere stabilita dall’autorità di controllo competente in ogni singolo caso, tenuto conto di tutte le circostanze pertinenti della situazione specifica, in particolare della natura, gravità e durata dell’infrazione e delle relative conseguenze, nonché delle misure adottate per assicurare la conformità agli obblighi derivanti dal presente regolamento e prevenire o attenuare le conseguenze della violazione. Se le sanzioni amministrative sono inflitte a imprese, le imprese dovrebbero essere intese quali definite agli articoli 101 e 102 TFUE a tali fini. (…) Il meccanismo di coerenza può essere utilizzato anche per favorire un’applicazione coerente delle sanzioni amministrative pecuniarie (…)». |
5. |
L’articolo 4 del regolamento in questione, intitolato «Definizioni», stabilisce quanto segue: «Ai fini del presente regolamento s’intende per: (…)
(…)
(…)». |
6. |
L’articolo 58 dell’RGPD, intitolato «Poteri», al paragrafo 2 così dispone: «Ogni autorità di controllo ha tutti i poteri correttivi seguenti:
(…)
(…)». |
7. |
Il successivo articolo 83, intitolato «Condizioni generali per infliggere sanzioni amministrative pecuniarie», così recita: «1. Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive. 2. Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all’articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso, si tiene debito conto dei seguenti elementi:
3. Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave. 4. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10000000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (…). 5. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20000000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: (…) 6. In conformità del paragrafo 2 del presente articolo, l’inosservanza di un ordine da parte dell’autorità di controllo di cui all’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20000000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. (…) 8. L’esercizio da parte dell’autorità di controllo dei poteri attribuitile dal presente articolo è soggetto a garanzie procedurali adeguate in conformità del diritto dell’Unione e degli Stati membri, inclusi il ricorso giurisdizionale effettivo e il giusto processo. (…)». |
B. Diritto nazionale. Ordnungswidrigkeitengesetz (legge in materia di infrazioni amministrative) ( 3 )
8. |
Ai sensi dell’articolo 9, paragrafo 1, dell’OWiG, quando una persona agisce in qualità di a) organo (o membro di un organo) autorizzato a rappresentare una persona giuridica, b) socio autorizzato a rappresentare una società di persone con capacità giuridica o c) legale rappresentante di un terzo, le sarà applicata qualsiasi legge in forza della quale particolari qualità, condizioni o circostanze personali giustificano un’eventuale sanzione, laddove tali caratteristiche si riscontrino non presso la suddetta persona, ma presso la persona rappresentata. |
9. |
Ai sensi dell’articolo 9, paragrafo 2, della stessa legge, quanto precede vale anche nel caso del titolare di un’azienda (impresa) che affida in tutto o in parte ad un’altra persona la direzione di quest’ultima o lo svolgimento, sotto la propria responsabilità, delle funzioni che rientrano nella competenza del titolare. |
10. |
Il successivo articolo 30, paragrafo 1, consente di infliggere una sanzione amministrativa pecuniaria a una persona giuridica qualora la persona fisica che la rappresenta, la dirige o è responsabile della sua gestione abbia commesso un reato o non abbia rispettato gli obblighi che incombono sulla persona giuridica. |
11. |
Ai sensi dell’articolo 30, paragrafo 4, dell’OWiG, l’imposizione autonoma di una sanzione pecuniaria ad una persona giuridica richiede che non sia stato avviato alcun procedimento nei confronti del membro dell’organo o del rappresentante della persona giuridica o, se tale procedimento è stato avviato, che si sia stato interrotto. |
12. |
A norma dell’articolo 130, paragrafo 1, di tale legge, chiunque, in qualità di titolare di un’azienda o di un’impresa, si astenga, con dolo o con colpa, dall’adottare le misure di sorveglianza necessarie al fine di impedire, all’interno dell’azienda o dell’impresa, l’inosservanza degli obblighi cui il suo titolare è soggetto e la cui violazione è sanzionata con una pena o con una sanzione pecuniaria, commette un’infrazione amministrativa se tale violazione avrebbe potuto essere impedita od ostacolata attraverso adeguate misure di controllo, tra le quali figurano la nomina, la selezione accurata e il monitoraggio dei responsabili dei controlli. |
II. Fatti, procedimento e questioni pregiudiziali
13. |
La Deutsche Wohnen SE (in prosieguo: la «Deutsche Wohnen») è una società immobiliare quotata in borsa con sede legale a Berlino (Germania). Essa detiene indirettamente, tramite partecipazioni, circa 163000 unità abitative e 3000 unità immobiliari per uso commerciale. |
14. |
I proprietari di tali unità sono società figlie collegate alla Deutsche Wohnen («società proprietarie») che gestiscono le attività operative, mentre la Deutsche Wohnen ha il coordinamento amministrativo del gruppo. Le società proprietarie danno in locazione le unità abitative e le unità immobiliari per uso commerciale, che sono gestite da altre società del gruppo, denominate società di servizi. |
15. |
Nello svolgimento delle loro attività, la Deutsche Wohnen e le società del gruppo trattano i dati personali dei locatari degli immobili. Detti dati includono, in particolare, prove di identità, dati relativi alla situazione tributaria, alla sicurezza sociale e all’assicurazione sanitaria, nonché informazioni su precedenti rapporti di locazione. |
16. |
In data 23 giugno 2017, nell’ambito di un’ispezione in loco, la Berliner Beauftragte für den Datenschutz (autorità incaricata della protezione dei dati di Berlino; in prosieguo: l’«autorità per la protezione dei dati») ha segnalato alla Deutsche Wohnen che le società del suo gruppo conservavano i dati personali dei locatari in un sistema di archiviazione elettronica, nell’ambito del quale non era possibile verificare se la conservazione fosse necessaria e se fosse garantita la cancellazione dei dati non più necessari. |
17. |
Successivamente, l’autorità per la protezione dei dati ha intimato alla Deutsche Wohnen di eliminare determinati documenti dal sistema di archiviazione elettronica entro la fine del 2017. |
18. |
La Deutsche Wohnen si è opposta, sostenendo che la cancellazione non era possibile per motivi tecnici e giuridici. Questa obiezione è stata discussa in un incontro tra la Deutsche Wohnen e l’autorità per la protezione dei dati, durante il quale quest’ultima ha suggerito che erano disponibili soluzioni tecniche per la cancellazione dei dati. Le interlocuzioni sono proseguite e la Deutsche Wohnen ha comunicato che stava valutando l’implementazione di un nuovo sistema in sostituzione di quello ritenuto non idoneo dall’autorità per la protezione dei dati. |
19. |
Il 5 marzo 2020, l’autorità per la protezione dei dati ha effettuato un’ispezione presso la sede centrale del gruppo dell’impresa, durante la quale è stato prelevato un totale di 16 campioni dalla banca dati. Allo stesso tempo, la Deutsche Wohnen ha comunicato all’autorità che il sistema di archiviazione controverso era già stato dismesso e che la migrazione dei dati verso il nuovo sistema era imminente. |
20. |
Il 30 ottobre 2020, l’autorità per la protezione dei dati ha sanzionato la Deutsche Wohnen per:
|
21. |
Le ammende comminate ammontavano a EUR 14385000 per violazione intenzionale degli articoli 25, paragrafo 1, e 5, paragrafo 1, lettere a), c) ed e), dell’RGPD, e a importi compresi tra EUR 3000 e EUR 17000, per le quindici violazioni dell’articolo 6, paragrafo 1, dell’RGPD. |
22. |
La Deutsche Wohnen ha presentato opposizione avverso le sanzioni dinanzi al Landgericht Berlin (Tribunale del Land di Berlino, Germania), organo giudiziale che ha accolto il ricorso. |
23. |
La Staatsanwaltschaft Berlin (Procura di Berlino, Germania) ha impugnato la decisione di primo grado dinanzi al Kammergericht Berlin (Tribunale superiore del Land di Berlino, Germania), che ha sottoposto alla Corte le seguenti questioni pregiudiziali:
|
III. Procedimento dinanzi alla Corte
24. |
La domanda di pronuncia pregiudiziale è pervenuta alla cancelleria della Corte il 23 dicembre 2021. |
25. |
Hanno presentato osservazioni scritte la Deutsche Wohnen, i governi tedesco, estone e norvegese nonché la Commissione europea. |
26. |
Il 9 novembre 2022, in applicazione dell’articolo 101, paragrafo 1, del regolamento di procedura, la Corte ha invitato il giudice del rinvio a precisare:
|
27. |
I chiarimenti in questione sono stati depositati presso la Corte l’11 gennaio 2023. |
28. |
In udienza, tenutasi il 17 gennaio 2023, oltre a coloro che hanno presentato osservazioni scritte, sono comparsi il governo dei Paesi Bassi, il Parlamento europeo e il Consiglio dell’Unione europea. |
IV. Valutazione
A. Sulla prima questione pregiudiziale
1. Osservazioni preliminari
29. |
La prima questione posta dal giudice del rinvio è in sostanza se, alla luce del diritto dell’Unione, una persona giuridica possa essere sanzionata per violazione dell’RGPD senza che sia necessario imputare prima tale violazione a una persona fisica. |
30. |
Il giudice del rinvio ha tuttavia inserito diversi fattori di complessità nella sua questione:
|
31. |
Il giudice del rinvio afferma che la normativa nazionale consente di infliggere una sanzione pecuniaria alle imprese solo nel caso in cui possano essere loro imputate determinate infrazioni amministrative commesse (esclusivamente) dai loro dirigenti in qualità di rappresentanti ( 5 ). |
32. |
La Deutsche Wohnen e il governo tedesco non condividono questa formulazione. A loro avviso, l’articolo 30 dell’OWiG deve essere interpretato in combinato disposto con gli articoli 9 e 130 della stessa legge, con i quali forma un regime sanzionatorio coerente. In forza di tale regime, un’impresa può essere sanzionata amministrativamente senza che sia necessario avviare un procedimento nei confronti della persona fisica che ha agito per suo conto ( 6 ). |
33. |
Invitato dalla Corte a pronunciarsi sull’eventuale incidenza dell’articolo 130 dell’OWiG, il giudice del rinvio ha risposto che esso non è pertinente per la prima questione pregiudiziale. A sostegno della sua posizione sostiene che:
|
34. |
Tali chiarimenti mettono in evidenza che la prima delle questioni pregiudiziali del giudice del rinvio risponde ad un’interpretazione del diritto nazionale che, contrariamente al parere del governo tedesco, prevede un regime di responsabilità delle persone giuridiche le cui caratteristiche lo renderebbero, eventualmente, incompatibile con il diritto dell’Unione. |
35. |
La Corte deve attenersi al contesto normativo nazionale come descritto dal giudice del rinvio ( 7 ), che è l’interprete autorizzato del proprio diritto interno. Le questioni relative all’interpretazione del diritto dell’Unione sollevate dal giudice nazionale devono essere risolte alla luce del contesto di diritto e di fatto che egli individua sotto la propria responsabilità, del quale non spetta alla Corte verificare l’esattezza ( 8 ). |
36. |
È dunque sulla base di queste premesse che esaminerò la prima questione pregiudiziale. |
2. Persone giuridiche destinatarie della sanzione nell’RGPD
37. |
Non vi è alcuna obiezione, secondo il diritto dell’Unione, a considerare la Deutsche Wohnen come autrice dell’infrazione e soggetto passivo della sanzione inflitta. Tale possibilità si ritrova, in astratto, nell’RGPD mentre, in concreto, essa è stata utilizzata nel presente caso:
|
38. |
Per quanto riguarda l’approccio astratto, non sono necessarie tante considerazioni per sostenere il postulato secondo cui una persona giuridica può essere sanzionata direttamente come autore della violazione dell’RGPD. Tale postulato si deduce senza difficoltà ermeneutiche dalla lettura degli articoli 4, 58 e 83 dell’RGPD:
|
39. |
Dall’insieme di tali disposizioni discende, in modo del tutto naturale, che l’RGPD prevede che le sanzioni amministrative pecuniarie risultanti dalla violazione dello stesso abbiano come possibile destinatario diretto una persona giuridica ( 12 ). Questa stessa naturalezza è stata assunta dalle autorità nazionali competenti in materia, le quali non hanno esitato a infliggere sanzioni, talvolta elevate, a persone giuridiche che hanno violato l’RGPD ( 13 ). |
40. |
Per quanto riguarda l’approccio concreto, ribadisco che l’autorità per la protezione dei dati si è rivolta alla Deutsche Wohnen in qualità di titolare del trattamento dei dati, intimandole di cancellare dai suoi archivi alcuni dati personali dei locatari, richiesta che l’impresa non ha soddisfatto per un certo periodo di tempo, fino a quando non ha cambiato i suoi sistemi di archiviazione. |
3. Sulla necessità di una previa imputazione a una persona fisica
41. |
Secondo il giudice del rinvio, il diritto nazionale richiede che, per sanzionare direttamente un’impresa per violazione dell’RGPD, sia previamente accertata la responsabilità di una persona fisica. Così risulterebbe dall’articolo 30 dell’OWiG: è possibile infliggere una sanzione pecuniaria a un’impresa solo nel caso in cui possano esserle imputate determinate infrazioni amministrative commesse dai suoi dirigenti in qualità di rappresentanti; a tal fine, il rappresentante deve aver violato di fatto, illegalmente e colpevolmente la norma soggetta ad ammenda ( 14 ). |
42. |
Dinnanzi all’obiezione del governo tedesco, che invoca l’articolo 130 dell’OWiG per rispondere all’interpretazione del giudice del rinvio, quest’ultimo si pronuncia nei termini da me già indicati trascrivendo la sua risposta alla Corte ( 15 ). In sintesi, sostiene che la tutela dei beni giuridici offerta da tale disposizione è molto limitata rispetto al regime di responsabilità che deriverebbe dagli articoli 101 e 102 TFUE. |
43. |
La regola della preventiva dichiarazione di responsabilità della persona fisica, invocata dal giudice del rinvio, non si applicherebbe, tuttavia, se l’articolo 83, paragrafi da 4 a 6, dell’RGPD dovesse fare propria, incorporandola nel diritto nazionale, la «nozione funzionale di impresa», caratteristica degli articoli 101 e 102 TFUE. |
a) Incidenza della nozione utilizzata negli articoli 101 e 102 TFUE
44. |
L’articolo 83, paragrafi da 4 a 6, dell’RGPD ha lo scopo di calcolare l’importo delle sanzioni relative alle violazioni dell’RGPD ivi menzionate. In particolare, questi tre paragrafi prevedono la possibilità che il soggetto sanzionato sia un’«impresa». |
45. |
È in tale contesto che va interpretato il riferimento del considerando 150 dell’RGPD alla nozione di impresa ai sensi degli articoli 101 e 102 TFUE. Ricordo che, per la Corte, «il diritto dell’Unione in materia di concorrenza riguarda le attività delle imprese e (…) il concetto di impresa comprende qualsiasi ente che eserciti un’attività economica, a prescindere dal suo status giuridico e dalle sue modalità di finanziamento» ( 16 ). |
46. |
Nella misura in cui l’importo massimo delle sanzioni per la violazione dell’RGPD è fissato, per le imprese titolari o responsabili del trattamento dei dati, in una percentuale del «fatturato mondiale totale annuo dell’esercizio precedente», il riferimento per stabilire tale importo non può essere fornito dalla personalità giuridica formale di una società, ma da quella di «unità economica», nel senso sopra indicato. |
47. |
Questo perché, ai sensi dell’articolo 83, paragrafo 1, dell’RGPD, le sanzioni amministrative pecuniarie previste dai paragrafi da 4 a 6 dello stesso regolamento devono essere «effettive, proporzionate e dissuasive». Tre caratteristiche che possono essere attribuite solo ad una sanzione il cui importo sia determinato in base alla capacità economica reale o sostanziale del suo destinatario. Da qui la necessità di utilizzare una nozione sostanziale o economica di «impresa», prima di utilizzare una nozione strettamente formale, ai fini del calcolo della sanzione. |
48. |
Per la determinazione dell’importo delle sanzioni per violazione dell’RGPD, il legislatore europeo utilizza pertanto la definizione reale o sostanziale di «impresa», caratteristica del diritto della concorrenza ( 17 ). Tuttavia, insisto, è solo a tali fini che l’RGPD evoca tale nozione. |
49. |
Nel caso di specie, la nozione di impresa di cui agli articoli 101 e 102 TFUE potrebbe dunque essere pertinente per quantificare la sanzione imponibile alla Deutsche Wohnen. Se a quest’ultima viene attribuita, o meno, la qualità di ente sanzionato (rectius, autore dell’infrazione), ciò non dipende, strettamente, dall’applicazione di questi due articoli del TFUE. |
50. |
Quanto precede non impedisce che, per analogia, i principi generali che disciplinano il regime sanzionatorio del diritto della concorrenza (che è stato oggetto di una copiosa opera interpretativa della Corte) si applichino, mutatis mutandis, alla responsabilità delle persone giuridiche per le loro violazioni in materia di protezione dei dati personali ( 18 ). |
b) Imputazione diretta ad una persona giuridica
51. |
È compatibile con l’RGPD una normativa nazionale che subordini l’imposizione di sanzioni amministrative a persone giuridiche, al fatto che si sia proceduto previamente nei confronti di una persona fisica? |
52. |
La natura dell’RGPD comporta, oltre alla sua portata generale, la sua obbligatorietà e la sua diretta applicabilità in ciascuno degli Stati membri, ai sensi dell’articolo 288 TFUE. Queste caratteristiche verrebbero compromesse se gli Stati membri potessero discostarsi dalla configurazione definitiva dei requisiti imposti dal legislatore dell’Unione nell’RGPD. |
53. |
È vero che, a causa, giustamente, della peculiarità e delle caratteristiche del suo oggetto, alcune disposizioni dell’RGPD consentono agli Stati membri un certo margine di manovra al fine di mantenere o introdurre norme nazionali dirette a specificare ulteriormente alcune delle prime. Ciò vale, ad esempio:
|
54. |
Detto margine di manovra dello Stato, di cui si è discusso in udienza, non può, a mio avviso, essere esteso fino a ridurre l’imputabilità di una persona giuridica come, secondo il giudice del rinvio, risulterebbe dall’articolo 30 dell’OWiG. |
55. |
Una siffatta configurazione del regime di responsabilità delle persone giuridiche consentirebbe di escludere dall’ambito di applicazione del regime sanzionatorio dell’RGPD violazioni che, secondo tale regolamento, devono essere imputate a una persona giuridica in quanto rivesta la qualità di titolare del trattamento o di responsabile del trattamento. È quanto avverrebbe se le persone fisiche che rappresentano, dirigono o assumono la gestione della persona giuridica non avessero preso parte a tali violazioni. |
56. |
Nella misura in cui, ripeto, una persona giuridica può essere titolare del trattamento dei dati e, in tale qualità, autore delle violazioni dell’RGPD ad essa imputabili, l’applicazione dell’articolo 30 dell’OWiG potrebbe comportare un indebolimento o una riduzione ingiustificata dell’ambito delle condotte sanzionabili, che non si concilia con la previsione generale dello stesso RGPD. |
57. |
Una persona giuridica che può essere qualificata come titolare del trattamento o responsabile del trattamento di dati personali deve subire le conseguenze, in termini sanzionatori, delle violazioni dell’RGPD commesse non solo dai suoi rappresentanti, amministratori o dirigenti, ma anche dalle persone fisiche (dipendenti in senso lato) che agiscono nell’ambito specifico della sua attività d’impresa e sotto il controllo di quelli. |
58. |
Tali persone fisiche, infatti, configurano e definiscono la volontà della persona giuridica, concretizzandola mediante atti specifici e concreti. Atti specifici che, in quanto manifestazione concreta di quella volontà, sono in ultima analisi attribuibili alla persona giuridica stessa. |
59. |
Si tratta, in sintesi, di persone fisiche che, non essendo esse stesse rappresentanti di una persona giuridica, agiscono sotto l’autorità di coloro che, rappresentando quest’ultima, sono incorsi in una mancanza di vigilanza o di controllo sulle prime. In definitiva, l’imputabilità ricade sulla persona giuridica stessa, nella misura in cui l’infrazione del dipendente che agisce sotto l’autorità dei suoi organi direttivi è riconducibile ad una carenza del sistema di controllo e vigilanza, di cui essi sono direttamente responsabili. |
60. |
Quanto precede corrisponde alla lettura che il giudice del rinvio fa del proprio diritto interno. Orbene, il governo tedesco sostiene che l’applicazione combinata degli articoli 9, 30 e 130 dell’OWiG configura un sistema in cui le infrazioni attribuite a una persona giuridica, commesse da persone fisiche che non sono dotate di funzioni direttive o di rappresentanza di quest’ultime, possono essere sanzionate senza che sia necessaria la loro identificazione ( 21 ). |
61. |
Come ho sottolineato in precedenza, spetta al giudice del rinvio interpretare le disposizioni del proprio diritto nazionale. La soluzione alla questione se, conformemente alla giurisprudenza nazionale e alla dottrina invocate dal governo tedesco ( 22 ), dette disposizioni consentano un’interpretazione del diritto nazionale conforme ai requisiti del diritto dell’Unione deve essere fornita dai suoi giudici. |
62. |
Nell’ipotesi in cui questa interpretazione fosse contra legem e risultasse impossibile, a causa della particolare struttura del suo regime sanzionatorio nazionale, dare piena applicazione alle disposizioni dell’RGPD in quest’ambito, il giudice del rinvio dovrebbe escludere l’applicazione della norma nazionale incompatibile con il diritto dell’Unione, al fine di garantire il primato dell’RGPD. |
B. Sulla seconda questione pregiudiziale
63. |
Il giudice del rinvio desidera sapere se, conformemente all’articolo 83, paragrafi da 4 a 6, dell’RGPD, «l’impresa de[bba] aver commesso l’infrazione, per mezzo di un proprio dipendente, in modo colpevole (…), oppure se, ai fini dell’imposizione di una sanzione all’impresa, sia in linea di principio sufficiente che le possa essere imputata un’oggettiva violazione di obblighi (strict liability)» ( 23 ). |
64. |
La questione così formulata ha natura ipotetica, il che la rende irricevibile sotto un duplice profilo. |
65. |
In primo luogo, conformemente all’ordinanza di rinvio, la sanzione alla Deutsche Wohnen è stata inflitta per una condotta dolosa (intenzionale) e non per una mera «oggettiva violazione» dell’RGPD. L’esposizione dei fatti di cui sopra evidenzia che tale impresa ha consapevolmente e deliberatamente non soddisfatto la richiesta dell’autorità per la protezione dei dati e ha continuato a trattare i dati censurati. È irrilevante, ai fini di tale qualificazione, che abbia invocato una serie di difficoltà tecniche e giuridiche nel modificare i suoi sistemi di trattamento dei dati. |
66. |
In secondo luogo, invitato dalla Corte a chiarire il suo quesito, il giudice del rinvio ha affermato che il giudice di primo grado non è vincolato dagli accertamenti effettuati nella decisione che infligge una sanzione e che, in futuro, tale giudice potrebbe pronunciarsi sui motivi del ricorso avverso la sanzione. Se si dovesse ritenere che l’infrazione abbia avuto luogo, occorrerà determinare il tipo di colpa, il che dipenderà dalla risposta alla presente seconda questione pregiudiziale. |
67. |
Sulla base di tale chiarimento, la seconda questione pregiudiziale fa emergere nuovamente la sua natura ipotetica: il giudizio sulla qualificazione della condotta non è indispensabile per la soluzione della controversia dinanzi al giudice del rinvio ma, eventualmente, dopo la rimessione della causa al giudice di primo grado, perché quest’ultimo si pronunci in futuro. |
68. |
In ogni caso, e nel caso in cui la Corte decidesse di esaminare il merito, ritengo che la risposta a tale questione non dipenda dall’interpretazione dei paragrafi da 4 a 6 dell’articolo 83 dell’RGPD, il cui oggetto è la quantificazione delle sanzioni amministrative. |
69. |
Il giudice del rinvio distingue tra: a) l’infrazione commessa dal dipendente di una persona giuridica e b) la presenza in quell’infrazione di dolo o colpa da parte della persona giuridica. |
70. |
A mio avviso, l’«infrazione commessa dal dipendente» è in realtà, e come si è detto in relazione alla prima questione, un’infrazione commessa dalla persona giuridica sotto la cui autorità il dipendente ha agito. |
71. |
Correttamente formulata, la domanda si riferisce pertanto alla possibilità che una persona giuridica possa essere sanzionata per oggettiva violazione (senza colpa) degli obblighi che le incombono in quanto titolare o responsabile del trattamento dei dati. |
72. |
Per rispondere a questa domanda, può essere utile fare riferimento alla giurisprudenza della Corte europea dei diritti dell’uomo (Corte EDU) in relazione al principio di legalità penale, garantito dall’articolo 7 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (CEDU). |
73. |
Sebbene la CEDU non costituisca, fintanto che l’Unione non vi avrà aderito, uno strumento giuridico formalmente integrato nell’ordinamento giuridico dell’Unione, i diritti fondamentali riconosciuti da detta convenzione fanno parte del diritto dell’Unione in quanto principi generali (articolo 6, paragrafo 3, TUE). |
74. |
Secondo la Corte, «l’articolo 52, paragrafo 3, della Carta, il quale stabilisce che i diritti riconosciuti da quest’ultima corrispondenti a diritti garantiti dalla CEDU hanno un significato e una portata identici a quelli attribuiti a tali diritti dalla suddetta convenzione, mira a garantire la necessaria coerenza tra questi rispettivi diritti senza pregiudicare l’autonomia del diritto dell’Unione e della Corte» ( 24 ). |
75. |
Orbene, la dottrina della Corte EDU nell’interpretazione dell’articolo 7 della CEDU contiene sfumature che non coincidono del tutto:
|
76. |
In realtà, importare categorie dogmatiche dal diritto penale (nulla poena sine culpa) per applicarle al diritto sanzionatorio amministrativo presenta notevoli difficoltà ermeneutiche. Nella nozione di culpa (nella forma della negligenza) possono rientrare ipotesi di mera inosservanza di una disposizione di legge, qualora il suo autore avesse il dovere di sapere quale condotta fosse tenuto a rispettare. |
77. |
Da questo punto di vista, le diverse forme di culpa, comprese quelle di grado minore, nonché i diversi gradi di imputazione (culpa in vigilando o in eligendo, ad esempio) potrebbero essere attribuite a condotte che, da un’altra prospettiva, alcuni giudici qualificherebbero come ipotesi di responsabilità oggettiva. I confini tra una categoria e l’altra non sono dunque così netti nel diritto amministrativo sanzionatorio come sembrerebbe emergere dalla decisione di rinvio. |
78. |
In effetti, per quanto riguarda il diritto dell’Unione la Corte, in materia sanzionatoria, ha accolto in alcuni casi un sistema che definisce di responsabilità oggettiva. Così è stato, ad esempio, nella sentenza del 22 marzo 2017, Euro-Team e Spirál-Gép, nei seguenti termini:
|
79. |
Tuttavia, questa dottrina è stata elaborata in ambiti diversi da quello della protezione dei dati, in materia di violazione di obblighi positivi con connotazioni prevalentemente formali: si trattava di sanzioni pecuniarie imposte per aver utilizzato un tratto autostradale senza aver pagato il relativo importo del pedaggio richiesto ( 29 ), o per la mancata osservanza delle disposizioni relative all’utilizzo del foglio di registrazione dell’apparecchio di controllo di un camion ( 30 ). |
80. |
Per quanto riguarda gli obblighi previsti dall’RGPD – tra i quali figurano quelli che condizionano il trattamento dei dati (articolo 5 dell’RGPD) e la sua liceità (articolo 6 dell’RGPD) –, comprendere se essi siano stati osservati implica un processo di valutazione e di giudizio complesso, ulteriore rispetto alla mera constatazione di un inadempimento formale. |
81. |
In ogni caso, ritengo che l’articolo 83 dell’RGPD avvalori l’esclusione di un regime di responsabilità oggettiva (senza colpa) in materia sanzionatoria, vale a dire richieda la presenza di dolo o colpa nella condotta da sanzionare. Ciò risulta, a mio parere, da diversi paragrafi:
|
82. |
La tesi che ho appena esposto potrebbe essere irricevibile se, come sostenuto da taluni dei governi intervenuti, l’assenza di previsioni esplicite su tale punto nell’RGPD implicasse che agli Stati membri sia concessa la possibilità di optare per un sistema di responsabilità soggettiva (dolo o colpa), o per un sistema che include anche la responsabilità oggettiva. |
83. |
Riconosco che la posizione di tali governi gode di un certo sostegno argomentativo: nella misura in cui l’articolo 83, paragrafo 2, dell’RGPD fa riferimento al carattere doloso o colposo quale elemento per fissare l’ammontare della sanzione, e non come elementi imprescindibili (essenziali) della condotta illecita stessa, tale disposizione lascerebbe agli Stati membri la possibilità di determinare, a loro discrezione, detti elementi essenziali della violazione. |
84. |
Sono tuttavia del parere, al pari della Commissione, che la corretta lettura del regime sanzionatorio istituito dall’RGPD, la cui vocazione di applicabilità diretta è innegabile, auspica una soluzione unitaria e coerente ( 33 ) per tutti gli Stati membri e non che ciascuno di essi decida autonomamente se le violazioni passibili di sanzioni debbano o meno essere estese a quelle che non hanno carattere doloso o colposo. |
85. |
A mio avviso, la rilevanza di una soluzione unitaria (e l’impraticabilità di una soluzione divisa) è confermata dai considerando dell’RGPD citati dal giudice del rinvio nella sua domanda di pronuncia pregiudiziale, nei quali si ribadisce la necessità di punire le violazioni con sanzioni equivalenti ( 34 ). L’equivalenza non verrebbe garantita se ogni Stato membro si permettesse di tipizzare violazioni di natura diversa, introducendo quelle che consistono in mere violazioni oggettive prive di qualsiasi elemento doloso o colposo. |
V. Conclusione
86. |
Alla luce di quanto precede, propongo alla Corte di rispondere al Kammergericht Berlin (Tribunale superiore del Land di Berlino, Germania) nei seguenti termini: «L’articolo 58, paragrafo 2, lettera i), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), in combinato disposto con gli articoli 4, punto 7), e 83 dello stesso regolamento, deve essere interpretato nel senso che l’imposizione di una sanzione amministrativa pecuniaria a una persona giuridica titolare del trattamento dei dati personali non è subordinata al previo accertamento di un’infrazione commessa da una o più persone fisiche alle dipendenze di tale persona giuridica. Le sanzioni amministrative pecuniarie che possono essere inflitte ai sensi del regolamento 2016/679 richiedono che sia accertato il carattere doloso o colposo nella condotta che costituisce la violazione sanzionata». |
( 1 ) Lingua originale: lo spagnolo.
( 2 ) Regolamento del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1); in prosieguo: l’«RGPD».
( 3 ) Legge del 24 maggio 1968 (BGBl. I 481; III 454- 1), nella versione del 19 febbraio 1987 (BGBl. I, pag. 602), come modificata dalla legge del 19 giugno 2020 (BGBl. I, pag. 1328). In prosieguo: lo «OWiG».
( 4 ) Regolamento del Consiglio, del 16 dicembre 2002, concernente l’applicazione delle regole di concorrenza di cui agli articoli 81 e 82 del trattato (GU 2003, L 1, pag. 1).
( 5 ) Motivo II, punto 1, della decisione di rinvio. V. paragrafi 41 e segg. delle presenti conclusioni.
( 6 ) Punto 45 delle osservazioni della Deutsche Wohnen e punti 24 e 25 delle osservazioni del governo tedesco.
( 7 ) Nell’ambito di un procedimento ai sensi dell’articolo 267 TFUE, basato sulla netta separazione delle funzioni tra i giudici nazionali e la Corte, il giudice nazionale è l’unico competente ad esaminare e valutare i fatti del procedimento principale nonché a interpretare e ad applicare il diritto nazionale. Sentenza del 26 aprile 2017, Farkas (C‑564/15, EU:C:2017:302), punto 37.
( 8 ) Il rifiuto della Corte di statuire su una questione pregiudiziale è possibile soltanto qualora appaia in modo manifesto che l’interpretazione del diritto dell’Unione richiesta non ha alcun rapporto con la realtà effettiva o con l’oggetto della controversia nel procedimento principale, qualora la questione abbia natura ipotetica o quando la Corte non disponga degli elementi di fatto e di diritto necessari per rispondere in modo utile alle questioni che le sono sottoposte [v. per tutte, sentenza del 27 settembre 2017, Puškár (C‑73/16, EU:C:2017:725), punto 50]. Nessuna di queste circostanze ricorre nel caso in esame.
( 9 ) Nonostante le reticenze della Deutsche Wohnen ad ammettere questa condizione nel corso dell’udienza, resta il fatto che il suo profilo corrisponde alla definizione di «titolare del trattamento» di cui all’articolo 4 dell’RGPD. Ciò avviene, a prescindere dalla responsabilità che le compete effettivamente per le infrazioni che le sono imputate in quanto «titolare» del trattamento.
( 10 ) Altra cosa è che, per determinare l’importo dell’ammenda corrispondente, si debba tenere conto, se del caso, dell’eventuale integrazione della Deutsche Wohnen e delle sue società figlie in un’unità economica più grande. Nonostante le apparenze, il presente rinvio non solleva, in senso proprio, i classici problemi di attribuzione della responsabilità tra società madre e società figlie o gruppi di società.
( 11 ) L’articolo 4, punto 7, dell’RGPD definisce come «titolare del trattamento», per quanto in questa sede rileva, «la persona (…) giuridica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento»; al punto 8, definisce il «responsabile del trattamento» come «la persona (…) giuridica che tratta dati personali per conto del titolare del trattamento».
( 12 ) Alla quale è allo stesso modo riconosciuto, naturalmente, il diritto a un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda (articolo 78, paragrafo 1, dell’RGPD) e pertanto anche avverso qualsiasi sanzione amministrativa pecuniaria che possa esserle inflitta.
( 13 ) A titolo di esempio, l’autorità irlandese per la protezione dei dati, il 31 dicembre 2022, ha inflitto sanzioni pecuniarie per EUR 210 milioni a Facebook e EUR 180 milioni a Instagram.
( 14 ) Motivo II, punto 1, della decisione di rinvio.
( 15 ) V. paragrafo 32 delle presenti conclusioni.
( 16 ) Sentenza del 27 aprile 2017, Akzo Nobel e a./Commissione (C‑516/15 P, EU:C:2017:314, punto 47).
( 17 ) Per tutte, sentenza del 10 aprile 2014, Areva e a./Commissione (C‑247/11 P e C‑253/11 P, EU:C:2014:257), punto 123.
( 18 ) Come ho già rilevato, le questioni relative ai rapporti tra società madri e società figlie, ai fini sanzionatori, esulano dal presente procedimento pregiudiziale. Nel rinvio pregiudiziale non sono state sollevate neppure questioni relative all’onere della prova dei fatti contestati.
( 19 ) Considerando 10 dell’RGPD.
( 20 ) Ibidem.
( 21 ) Punto 25 delle osservazioni scritte del governo tedesco. Contro tale argomentazione, il giudice del rinvio sostiene, nei termini precedentemente esposti, che, anche in combinato disposto con gli articoli 9 e 30 dell’OWiG, la tutela dei beni giuridici offerta dal diritto nazionale sarebbe molto limitata rispetto al regime di responsabilità previsto dagli articoli 101 e 102 TFUE.
( 22 ) Punto 25 delle osservazioni scritte del governo tedesco, note da 16 a 18.
( 23 ) Il termine strict liability corrisponde, nella consueta traduzione inglese delle sentenze della Corte, alle espressioni responsabilidad objetiva (versione spagnola); responsabilité objective (versione francese); responsabilità oggettiva (versione italiana); responsabilidade objetiva (versione portoghese); objektiven Verantwortlichkeit (versione tedesca) e objectieve aansprakelijkheid (versione neerlandese).
( 24 ) V., per tutte, sentenza del 2 febbraio 2021, Consob (C‑481/19, EU:C:2021:84), punto 36.
( 25 ) Sentenza della Corte EDU del 20 gennaio 2009, Sud Fondi e a. c. Italia (CE:ECHR:2009:0120JUD007590901), § 116.
( 26 ) CE:ECHR:1988:1007JUD001051983.
( 27 ) Sentenza della Corte EDU del 7 ottobre 1988, Salabiaku c. Francia, §§ 27 e 28.
( 28 ) Sentenza del 22 marzo 2017, Euro-Team e Spirál-Gép (C‑497/15 e C‑498/15, EU:C:2017:229), punti 53 e 54, con citazione della sentenza del 9 febbraio 2012, Urbán (C‑210/10, EU:C:2012:64), rispettivamente punti 47 e 48.
( 29 ) Sentenza del 22 marzo 2017, Euro-Team e Spirál-Gép (C‑497/15 e C‑498/15, EU:C:2017:229).
( 30 ) Sentenza del 9 febbraio 2012, Urbán (C‑210/10, EU:C:2012:64).
( 31 ) Si vedano, tuttavia, i paragrafi 82 e 83 delle presenti conclusioni.
( 32 ) Così, ad esempio, la lettera a) si riferisce alla finalità del trattamento, la lettera c), alle misure adottate per attenuare il danno, la lettera d) al grado di responsabilità in funzione delle misure messe in atto e la lettera f) al grado di cooperazione con l’autorità di controllo.
( 33 ) Il considerando 150 dell’RGPD fa riferimento ad una applicazione coerente delle sanzioni amministrative pecuniarie da parte degli Stati membri. A questi ultimi, tuttavia, è consentito determinare «se e in che misura le autorità pubbliche debbano essere soggette a sanzioni amministrative pecuniarie». Quanto affermato non pregiudica le disposizioni specifiche per la Danimarca e l’Estonia alle quali fa riferimento il considerando 151 e le ipotesi previste al considerando 152.
( 34 ) Il considerando 10 dell’RGPD esorta a un’«applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali (…)» (il corsivo è mio). Il considerando 11 afferma che le violazioni devono essere punite con sanzioni equivalenti, formulazione che viene ripetuta nel considerando 13.