1.

La presente domanda di pronuncia pregiudiziale presentata dal Vestre Landsret (Corte regionale dell’Ovest, Danimarca) verte sull’interpretazione dell’articolo 83, paragrafi da 4 a 6, del regolamento (UE) 2016/679 ( 2 ). Essa è stata presentata nell’ambito di un procedimento penale avviato dall’Anklagemyndigheden (Pubblico Ministero, Danimarca) contro la società ILVA A/S (in prosieguo: la «ILVA») ( 3 ) per essere venuta meno agli obblighi ad essa incombenti in forza dell’articolo 5, paragrafo 1, lettera e), dell’articolo 5, paragrafo 2, e dell’articolo 6 del RGPD, in qualità di titolare del trattamento di dati personali relativi ad almeno 350000 ex clienti.

2.

La causa verte sulla questione se il termine «impresa», di cui all’articolo 83, paragrafi da 4 a 6, del RGPD, alla luce del considerando 150 di detto regolamento, debba essere inteso nel senso che corrisponde al termine «impresa» nel diritto della concorrenza dell’Unione (articoli 101 e 102 TFUE). Ciò solleva la questione se, al momento di imporre una sanzione pecuniaria per una violazione di detto regolamento posta in essere da un’impresa, occorra tenere conto del fatturato totale annuo dell’entità economica (o gruppo) alla quale l’impresa appartiene, e non soltanto del fatturato totale annuo di quella stessa società.

3.

La particolarità della presente causa risiede nel fatto che, nel procedimento principale, la sanzione pecuniaria era stata inflitta non dall’autorità nazionale di controllo dei dati nell’ambito delle sue facoltà di controllo, bensì da un’autorità giurisdizionale in un procedimento penale. Effettivamente il legislatore dell’Unione ha inserito nel RGPD una norma specifica a questo riguardo, che è applicabile, segnatamente, alla Danimarca.

4.

Ai sensi dei considerando 150 e 151 del RGPD:

5.

L’articolo 83 del RGPD, intitolato «Condizioni generali per infliggere sanzioni amministrative pecuniarie», dispone quanto segue:

«1.   Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive.

2.   Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all’articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:

(...)

3.   Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave.

4.   In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10000000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

(...)

5.   In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20000000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

(...)

6.   In conformità del paragrafo 2 del presente articolo, l’inosservanza di un ordine da parte dell’autorità di controllo di cui all’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20000000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

(...)

8.   L’esercizio da parte dell’autorità di controllo dei poteri attribuitile dal presente articolo è soggetto a garanzie procedurali adeguate in conformità del diritto dell’Unione e degli Stati membri, inclusi il ricorso giurisdizionale effettivo e il giusto processo.

(...)».

6.

L’articolo 41 del lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (legge n. 502, del 23 maggio 2018, recante disposizioni complementari al regolamento sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati), così dispone:

«[Paragrafo 1]. Sempre che non sia giustificata una pena più severa in forza di un’altra legge, è punito con una sanzione pecuniaria o con la reclusione fino a sei mesi chiunque violi le disposizioni relative a:

(...)

(...)

Paragrafo 3. Allorché viene inflitta una sanzione ai sensi dei paragrafi 1 e 2 occorre applicare l’articolo 83, paragrafo 2, del [RGPD].

(...)

Paragrafo 6. Le società (persone giuridiche) possono essere considerate penalmente responsabili ai sensi delle disposizioni di cui al Capitolo 5 del Codice penale. (...)».

7.

L’ILVA è accusata dinanzi alle autorità giurisdizionali danesi di essere venuta meno, nel periodo compreso tra il maggio 2018 e il gennaio 2019, agli obblighi ad essa incombenti in forza dell’articolo 5, paragrafo 1, lettera e), dell’articolo 5, paragrafo 2, e dell’articolo 6 del RGPD, in qualità di titolare del trattamento in relazione alla conservazione di dati personali relativi ai suoi ex clienti.

8.

L’ILVA gestisce una catena di negozi di arredamento e fa parte del gruppo Lars Larsen Group (in prosieguo: il «gruppo»). Il fatturato totale del gruppo per l’esercizio 2016/2017 è stato di [DKK] 6,57 miliardi (circa EUR 881 milioni). Di questi, il fatturato della società figlia ILVA ammontava a poco meno di [DKK] 1,8 miliardi (circa EUR 241 milioni).

9.

Su raccomandazione del Datatilsynet («Agenzia per la protezione dei dati», Danimarca, che è l’autorità danese per la protezione dei dati o l’«autorità di controllo», ai sensi del RGPD), il Pubblico Ministero ha chiesto l’imposizione all’ILVA di una sanzione pecuniaria di DDK 1,5 milioni (circa EUR 201000). Il quadro relativo al fatturato per stimare l’importo della sanzione non si basa solo sul fatturato dell’ILVA, ma sul fatturato totale dell’intero gruppo.

10.

Con sentenza del 12 febbraio 2021, il Retten i Aarhus (Tribunale di Aarhus, Danimarca) ha dichiarato l’ILVA colpevole di quanto imputatole, ma ha ritenuto che essa avesse agito per negligenza, contrariamente a quanto sostenuto dal Pubblico Ministero. Tale autorità giurisdizionale ha imposto all’ILVA una sanzione di DKK 100000 (circa EUR 13400). Inoltre, secondo detta autorità giurisdizionale, atteso che le accuse erano state mosse solo nei confronti dell’ILVA e non nei confronti di tutto il gruppo, non era necessario tenere conto del fatturato di quel gruppo al fine di calcolare l’importo della sanzione pecuniaria. Esso ha anche sottolineato che l’ILVA gestiva un’attività di vendita al dettaglio indipendente e che il gruppo non aveva creato quella società figlia con l’unico scopo di incaricarla del trattamento dei dati personali del gruppo.

11.

La sentenza del Retten i Aarhus (Tribunale di Aarhus) è stata impugnata dal Pubblico Ministero dinanzi al Vestre Landsret (Corte regionale dell’Ovest, Danimarca), giudice del rinvio. Tale giudice chiede di accertare se il termine «impresa», di cui all’articolo 83, paragrafi da 4 a 6, del RGPD, debba essere inteso nel senso che, per fissare una sanzione pecuniaria nel caso di una violazione del RGPD ad opera di una società, occorre considerare il fatturato del gruppo di cui la società di cui trattasi fa parte.

12.

Il Pubblico ministero sostiene che questo è il caso, affermando che si evince dal considerando 150 del RGPD che detto termine deve essere inteso ai sensi degli articoli 101 e 102 TFUE.

13.

L’ILVA, per contro, sostiene che, nel fissare una sanzione per la violazione del RGPD da parte di un’impresa, non si deve tenere conto del fatturato totale del gruppo di cui la società fa parte. In questo caso specifico, le accuse sono state mosse soltanto nei confronti dell’ILVA, che è una società figlia, e non nei confronti della società madre.

14.

Il giudice del rinvio considera che la risposta a tale questione non emerge chiaramente dal RGPD.

15.

In queste circostanze, il Vestre Landsret (Corte regionale dell’Ovest) ha deciso di sospendere il procedimento e di sottoporre le seguenti questioni pregiudiziali alla Corte di giustizia:

16.

Osservazioni scritte sono state presentate dall’ILVA e dalla Commissione europea. Il 19 giugno 2024 si è svolta un’udienza in cui erano rappresentate entrambe le parti.

17.

Il contesto delle disposizioni specifiche del RGPD, rilevanti nel caso di specie ( 4 ) e applicabili, segnatamente, alla Danimarca, è che l’Agenzia per la protezione dei dati non può, in linea di principio, irrogare sanzioni amministrative pecuniarie per violazioni della normativa in materia di protezione dei dati. l’Agenzia per la protezione dei dati deve invece presentare una denuncia se lo ritiene necessario ( 5 ). La polizia quindi indaga e stabilisce se vi siano motivi per un’accusa formale. In tal caso, la causa viene rinviata all’autorità giurisdizionale che la valuta e stabilisce l’ammontare della sanzione pecuniaria.

18.

A mio avviso, è opportuno considerare le due questioni congiuntamente. Con tali questioni il giudice del rinvio chiede, in sostanza, se il termine «impresa», di cui all’articolo 83, paragrafi da 4 a 6 del RGPD, debba essere inteso alla luce del considerando 150 di quel regolamento, nel senso che esso corrisponde alla nozione di «impresa» di cui agli articoli 101 e 102 TFUE. Ciò solleva la questione se, nell’imposizione di una sanzione pecuniaria a una società per una violazione del RGPD, sia necessario prendere in considerazione il fatturato totale annuo dell’intera impresa (l’entità economica o gruppo, in casu il gruppo Lars Larsen Group, pari a circa EUR 881 milioni) di cui fa parte la società che contravviene ( 6 ), e non soltanto il fatturato totale annuo della società stessa (l’ILVA, pari a circa EUR 241 milioni).

19.

L’articolo 83 del the RGPD fornisce il fondamento giuridico per l’imposizione di sanzioni pecuniarie per violazioni di quel regolamento. Il RGPD non contiene definizioni della nozione di «impresa» ai fini dell’esecuzione, ma il considerando 150 di quel regolamento dispone che i principi del diritto della concorrenza dell’Unione dovrebbero essere usati per interpretare tale nozione ( 7 ).

20.

Recentemente la Corte ha avuto l’opportunità di interpretare alcuni paragrafi (ma non tutti) dell’articolo 83 del RGPD e di affrontare alcuni quesiti relativi alla questioni presentate nella presente causa.

21.

Nella sentenza Deutsche Wohnen ( 8 ), la Corte ha dichiarato, segnatamente, che «dall’articolo 83, paragrafi da 4 a 6, del RGPD, che si riferisce al calcolo delle sanzioni amministrative pecuniarie per le violazioni elencate in tali paragrafi, risulta che, nel caso in cui il destinatario della sanzione amministrativa pecuniaria sia o faccia parte di un’impresa ai sensi degli articoli 101 e 102 TFUE, l’importo massimo della sanzione amministrativa pecuniaria è calcolato sulla base di una percentuale del fatturato mondiale totale annuo dell’esercizio precedente dell’impresa interessata».

22.

La Corte chiarisce che l’importo massimo della sanzione amministrativa pecuniaria è basato sul fatturato mondiale totale annuo ( 9 ) dell’«impresa», per cui tale nozione deve essere intesa ai sensi del diritto della concorrenza dell’Unione (articoli 101 e 102 TFUE). La Corte rileva dunque che il legislatore dell’Unione ha cercato di creare un ponte tra le disposizioni del RGPD e le norme dell’Unione in materia di concorrenza nell’ambito della fissazione dell’importo massimo delle sanzioni pecuniarie del RGPD.

23.

Infatti, sotto questo aspetto, l’articolo 83, paragrafi da 4 a 6, del RGPD è simile all’articolo 23, paragrafo 2, del regolamento (CE) n. 1/2003 ( 10 ), atteso che entrambi fissano un limite massimo legale per le sanzioni pecuniarie in forza dei rispettivi regolamenti.

24.

La Corte ha ulteriormente sviluppato il suo ragionamento e ha affrontato le condizioni applicabili alla determinazione dell’importo della sanzione amministrativa pecuniaria. Nella sentenza Deutsche Wohnen la Corte ha osservato (punto 58) che «solo una sanzione amministrativa pecuniaria il cui importo sia determinato in funzione della capacità economica reale o materiale del suo destinatario, e quindi imposta dall’autorità di controllo sulla base, per quanto riguarda l’importo della stessa, della nozione di unità economica ai sensi della giurisprudenza [ ( 11 )], può soddisfare le tre condizioni enunciate all’articolo 83, paragrafo 1, del RGPD, vale a dire essere allo stesso tempo effettiva, proporzionata e dissuasiva». Sebbene la Corte si riferisse a questo riguardo a un «destinatario [della sanzione pecuniaria]», sottolineando così il legame tra la sanzione pecuniaria e la persona specificamente accusata della violazione del RGPD, più avanti essa è tornata sulla nozione di «impresa» («unità economica») ai sensi del diritto europeo della concorrenza.

25.

Inoltre, al punto 59 di quella sentenza, la Corte ha dichiarato che «quando un’autorità di controllo decide, in forza dei poteri attribuitile dall’articolo 58, paragrafo 2, del RGPD, di imporre a un titolare del trattamento, che sia o faccia parte di un’impresa ai sensi degli articoli 101 e 102 TFUE, una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 di detto regolamento, tale autorità è tenuta a fondarsi, in forza di quest’ultima disposizione, letta alla luce del considerando 150 del medesimo regolamento, nel calcolare le sanzioni amministrative pecuniarie per le violazioni di cui ai paragrafi da 4 a 6 di tale articolo 83, sulla nozione di “impresa” ai sensi di tali articoli 101 e 102 TFUE» ( 12 ).

26.

Concludo che dalla sentenza Deutsche Wohnen discende che, in una causa in cui una violazione del RGPD è commessa da un titolare del trattamento o un responsabile del trattamento che sia (o faccia parte di) un’impresa, nella fissazione dell’importo massimo della sanzione pecuniaria, il riferimento al fatturato mondiale totale annuo dell’«impresa» va inteso ai sensi degli articoli 101 e 102 TFUE. Tuttavia, non è soltanto la questione relativa all’importo massimo della sanzione pecuniaria che può essere potenzialmente irrogata a detto titolare o responsabile del trattamento che viene chiarita al riguardo. Quello che si intende anche è che la giurisprudenza estremamente elastica (e piuttosto concreta) vertente sulle nozioni di «impresa» e di «unità economica» assume rilevanza, fino a un certo punto, anche al fine di fissare le condizioni per determinare la concreta sanzione pecuniaria imposta per quella specifica violazione del RGPD.

27.

Nei seguenti paragrafi analizzerò l’impatto della giurisprudenza Deutsche Wohnen nel contesto specifico della presente causa al fine di delineare una cornice che dovrebbe guidare il giudice del rinvio nella fissazione della sanzione pecuniaria dell’ILVA.

28.

Come indicato ai precedenti paragrafi 25 e 26, dalla lettera dell’articolo 83 del RGPD, in combinato disposto con il considerando 150 di quel regolamento, e dalla giurisprudenza Deutsche Wohnen si evince che, in casi in cui il titolare del trattamento o il responsabile del trattamento sia (parte di) un’«impresa» ai sensi degli articoli 101 e 102 TFUE, il fatturato globale di siffatta impresa nel suo insieme dovrebbe essere utilizzato al fine di determinare l’importo massimo della sanzione pecuniaria.

29.

La giurisprudenza della Corte in materia di concorrenza ha stabilito che la nozione di «impresa»«abbraccia qualsiasi entità che esercita un’attività economica, a prescindere dallo status giuridico di detta entità e dalle sue modalità di finanziamento» ( 13 ).

30.

Dalla giurisprudenza della Corte si evince anche che la nozione di «impresa», di cui agli articoli 101 e 102 TFUE, si può riferire a una singola unità economica, anche se tale unità economica consiste di diverse persone fisiche o giuridiche. La circostanza se diverse entità formino una siffatta unità dipende in gran parte dalla questione se la singola entità sia libera nella sua capacità decisionale o se un’entità guida, ossia la società madre, eserciti influenza determinante sulle altre. I criteri per determinare questo sono basati sui legami economici, giuridici e organizzativi tra la società madre e la sua società figlia, ad esempio, l’ammontare della partecipazione, i legami del personale o organizzativi, le istruzioni e l’esistenza di contratti societari ( 14 ).

31.

La giurisprudenza chiarisce anche che l’effettivo esercizio di un’influenza determinante della società madre sul comportamento della società figlia può essere dedotto da un complesso di elementi concordanti, ancorché nessuno di tali elementi, isolatamente considerato, sia sufficiente per dimostrare l’esistenza di una tale influenza ( 15 ). I giudici dell’Unione europea si sono basati, a tale riguardo, tra l’altro, sul potere della società madre di nominare i membri dei diversi consigli di amministrazione della società figlia nonché quello di convocare gli azionisti alle assemblee e di proporre la revoca degli amministratori o dell’intero consiglio di amministrazione della società figlia ( 16 ).

32.

Emerge parimenti da una giurisprudenza costante che, per il caso particolare in cui una società madre detenga, direttamente o indirettamente, la totalità o la quasi totalità del capitale della propria società figlia responsabile di una violazione delle norme in materia di concorrenza, da un lato, tale società madre è in grado di esercitare un’influenza determinante sul comportamento di detta società figlia e, dall’altro, esiste una presunzione relativa secondo cui detta società madre esercita effettivamente un’influenza siffatta ( 17 ).

33.

Secondo il punto 2 dell’ordinanza di rinvio, l’ILVA rientra nel gruppo Lars Larsen Group. Qualora il giudice del rinvio ritenesse che la società madre di quel gruppo esercita un’influenza determinante sull’ILVA, l’«impresa», ai sensi dell’articolo 83, paragrafo 5, del RGPD, consisterebbe di: (i) la società madre di quel gruppo; (ii) l’ILVA; e (iii) ogni altra società sulla quale la società madre eserciti parimenti influenza determinante. Quest’ultima categoria include potenzialmente le altre società del gruppo Lars Larsen Group.

34.

Il «fatturato» è espressamente indicato all’articolo 83, paragrafi da 4 a 6, del RGPD nel quadro del calcolo dell’importo massimo della sanzione pecuniaria che potrebbe essere imposta alle società. Tale importo massimo riguarda società molto grandi, posto che il limite non si applica se la sanzione pecuniaria è inferiore all’importo assoluto menzionato in quei tre paragrafi dell’articolo 83, ossia EUR 10 milioni o EUR 20 milioni. Il limite massimo fissato sulla base del fatturato assume dunque rilevanza soltanto per società con un fatturato mondiale totale superiore a EUR 500 milioni ( 18 ).

35.

Ne consegue che, ove il giudice del rinvio constatasse che la società madre del gruppo Lars Larsen Group esercita influenza determinante sull’ILVA, allora, in astratto, l’importo massimo della sanzione pecuniaria da imporre nel procedimento principale dovrebbe essere calcolato sulla base di una percentuale del fatturato mondiale totale annuo nell’esercizio precedente dell’impresa interessata, ossia il gruppo Lars Larsen Group (di cui l’ILVA fa parte).

36.

La questione di stabilire l’importo massimo della sanzione pecuniaria, come previsto dal legislatore dell’Unione all’articolo 83, paragrafi da 4 a 6, del RGPD, non dovrebbe essere confusa né accorpata con il conseguente compito di un’autorità di controllo ( 19 ), ossia quello di stabilire la concreta sanzione pecuniaria da infliggere per la specifica violazione (le specifiche violazioni) del RGPD di cui trattasi.

37.

A questo fine, occorre anzitutto osservare che il paragrafo 1 dell’articolo 83 del RGPD enuncia tre condizioni chiave ( 20 ) che devono essere osservate dall’autorità di controllo. Ciascuna di queste condizioni richiede un bilanciamento individuale di tutti gli elementi della violazione di cui trattasi e della sanzione pecuniaria appropriata concretamente da infliggere. Inoltre, il paragrafo 2 dell’articolo 83 obbliga detta autorità a conformarsi a taluni requisiti per decidere «se infliggere una sanzione amministrativa pecuniaria e [quale sia] l’ammontare [appropriato] della stessa». Pertanto, al fine di comprendere appieno l’applicazione dell’articolo 83, paragrafi da 4 a 6 del RGPD nel quadro della fissazione della concreta sanzione pecuniaria in un singolo caso, detti paragrafi devono essere letti in combinato disposto con l’articolo 83, paragrafo 1, nonché paragrafo 2 di quel regolamento. Quest’ultimo, soprattutto, elenca fattori specifici di cui un’autorità di controllo deve tenere debito conto quando fissa l’importo effettivo della sanzione pecuniaria in un dato caso.

38.

Proprio la formulazione del paragrafo 2 di quell’articolo richiede che si tengano in debita considerazione diversi elementi di «ogni singolo caso» mentre, al contempo, affida all’autorità di controllo l’identificazione di quegli elementi specifici che sono pertinenti al caso ad essa sottoposto e la determinazione della loro rilevanza al fine di fissare la sanzione pecuniaria concreta ( 21 ).

39.

Contrariamente all’articolo 83, paragrafi da 4 a 6, del RGPD (v. paragrafo 34 delle presenti conclusioni), né il suo articolo 83, paragrafo 2, o comunque neppure il suo articolo 83, paragrafo 1 o paragrafo 3 ( 22 ), contengono riferimenti al fatturato dell’impresa. Ne discende che il legislatore dell’Unione ha optato di non includere il «fatturato» come un fattore specifico per determinare la sanzione pecuniaria concreta. Invece, l’articolo 83, paragrafo 2, elenca fattori diversi ( 23 ) che caratterizzano il comportamento di un titolare del trattamento o di un responsabile del trattamento, accusato di una violazione, al fine di garantire che ciascuna violazione sia valutata sulla base di tutte le circostanze individuali rilevanti. A mio avviso, da quanto precede si può desumere che il legislatore dell’Unione ha cercato di distinguere tra i fattori che formano la base della determinazione dell’importo massimo della sanzione pecuniaria (fase 1) e l’elenco delle condizioni vincolanti per l’autorità di controllo per la fissazione della sanzione pecuniaria concreta (fase 2).

40.

A questo riguardo, ricordo che la Corte ha sottolineato che «una sanzione, anche di natura non penale, può essere inflitta solo qualora abbia un fondamento giuridico chiaro ed inequivoco» ( 24 ). Ciò vale a fortiori in un procedimento penale come quello nella presente causa. La giurisprudenza della Corte fa riferimento al «principio di legalità [che] postula che la legge definisca chiaramente gli illeciti e le pene che li reprimono (...) [e] i criteri di valutazione della chiarezza della legge secondo la giurisprudenza della Corte europea dei diritti dell’uomo [(CEDU)]» ( 25 ).

41.

A questo riguardo la Commissione afferma, in sostanza, che nella presente causa, il RGPD implica che non solo l’importo massimo della sanzione pecuniaria deve essere basato sul fatturato dell’impresa di cui fa parte la società, ma deve esserlo anche il calcolo della sanzione pecuniaria concreta. Tuttavia, le considerazioni enunciate ai paragrafi da 37 a 40 delle presenti conclusioni non consentono di concludere che l’articolo 83, paragrafi da 1 a 6, del RGPD, debba essere interpretato nel senso che le norme per stabilire l’importo massimo della sanzione pecuniaria (fase 1) devono anche essere utilizzate come il principale o l’unico riferimento per fissare la sanzione pecuniaria concreta (fase 2).

42.

In secondo luogo, come parte dell’effetto delle ripercussioni della creazione di un ponte tra i due settori del diritto, la necessità di distinguere tra l’importo massimo di una sanzione pecuniaria (fase 1) e la sanzione pecuniaria concreta (fase 2) può essere desunta anche dal diritto europeo della concorrenza. Infatti, per quanto riguarda l’importo massimo dell’ammenda, analogamente all’articolo 83 del RGPD, la Commissione utilizza il fatturato al fine di calcolare l’importo massimo dell’ammenda (che è fissato al 10% del fatturato totale dell’impresa per ciascuna infrazione). Tuttavia, è importante sottolineare che l’ammenda di base di per sé non è determinata sulla base del fatturato ( 26 ).

43.

L’ammenda di base è invece determinata, in sintesi, come una percentuale del valore delle vendite rilevanti (direttamente o indirettamente connesse alla violazione della concorrenza) moltiplicata per la durata (anni o periodi inferiori a un anno), oltre a una percentuale tra il 15 e il 25% del valore delle vendite rilevanti (come dissuasione aggiuntiva per i cartelli). Tale ammenda di base viene quindi aumentata sulla base di fattori aggravanti o ridotta in forza di fattori attenuanti. All’importo in parola viene poi applicato il massimale di 10% del fatturato (esiste un’altra possibilità, se applicabile, di ridurre l’ammenda in base a clemenza, transazione e/o per assenza di capacità contributiva). Ciò dimostra chiaramente che sono i fattori che caratterizzano direttamente l’infrazione (come le vendite rilevanti, la durata dell’infrazione e le specifiche circostanze della causa) che svolgono un ruolo centrale per fissare concretamente l’ammenda e non il fatturato mondiale totale annuo.

44.

Come già sottolineato dalla dottrina, «non vi è una diretta trasposizione del metodo di calcolo delle ammende utilizzato dalla Commissione ai sensi degli articoli 101 [e] 102 TFUE al RGPD, posto che le ammende della concorrenza dell’Unione mirano a catturare l’effetto del comportamento [anticoncorrenziale] sul mercato di cui trattasi piuttosto che a considerare il fatturato di per sé. Ad esempio, riguardo ai cartelli, le ammende sono basate sul valore delle vendite relative al «prodotto oggetto del cartello» piuttosto che sul fatturato globale ( 27 ).

45.

Infatti, la giurisprudenza della Corte conferma che la quota del fatturato totale derivante dalla vendita dei prodotti oggetto dell’infrazione (ossia, «il valore delle vendite») costituisce l’elemento più idoneo per riflettere l’importanza economica dell’infrazione stessa ( 28 ). Per contro, quello che la nozione di «fatturato» ai sensi del RGPD cerca di riflettere è l’importanza economica dell’impresa ( 29 ). Questi due approcci non devono essere confusi in quanto perseguono obiettivi diversi: il primo mira a determinare la gravità dell’infrazione mentre il secondo cerca di valutare l’importanza economica dell’impresa.

46.

Pertanto, le considerazioni che precedono e la giurisprudenza della Corte (citata al paragrafo 40 delle presenti conclusioni) mi inducono a concludere che il principio di legalità deve definire i limiti dell’impatto della giurisprudenza dell’Unione in materia di concorrenza sull’imposizione concreta di sanzioni pecuniarie per violazioni del RGPD. Segnatamente, occorre assicurare che le sanzioni pecuniarie concrete relative al RGPD siano calcolate soltanto in relazione agli atti dell’autore e tengano pienamente conto di tutte le caratteristiche della specifica infrazione. Dunque, l’interpretazione delle nozioni di «fatturato» e «impresa» nella fissazione dell’importo massimo della sanzione pecuniaria non può essere automaticamente trasposta al calcolo della sanzione pecuniaria concreta irrogata.

47.

Perché una sanzione pecuniaria rispetti l’obiettivo del RGPD – di rafforzare l’applicazione delle disposizioni di quel regolamento – e alla luce della giurisprudenza della Corte sopra discussa, l’interpretazione delle nozioni di «impresa» e «fatturato» nella fissazione dell’importo della sanzione pecuniaria concreta dovrebbe soddisfare i seguenti requisiti. Nel processo di determinazione della sanzione pecuniaria concreta, l’autorità di controllo deve, anzitutto, considerare come base tutte le circostanze individuali di quel caso specifico, come richiesto dall’articolo 83, paragrafo 2, del RGPD, inclusa la relazione all’interno dell’«impresa», come stabilito dalla giurisprudenza dell’Unione in materia di concorrenza. In secondo luogo, per effetto del bilanciamento di tutte le circostanze rilevanti, la sanzione pecuniaria concreta deve essere effettiva, proporzionale e dissuasiva. Infine, cosa non meno importante, laddove opportuno occorre rispettare gli aspetti del diritto penale rilevanti per la causa.

48.

Al fine di soddisfare queste condizioni, vorrei richiamare i seguenti punti.

49.

Come osservato dall’Avvocato generale Pitruzzella ( 30 ), nel diritto dell’Unione la nozione di «impresa» assume un significato e una portata inerenti alla disciplina in cui si inserisce e ai diversi obiettivi che tale disciplina intende perseguire. Nel diritto della concorrenza, il carattere funzionale della nozione di «impresa» è da intendersi sotto un duplice profilo. In primo luogo, tale nozione si focalizza sul tipo di attività svolta anziché sulle caratteristiche dell’attore che la esercita. La concorrenza è costituita e influenzata da attività economiche. Per questa ragione gli articoli 101 e 102 TFUE si riferiscono in termini generici alle «imprese», tralasciando ogni riferimento alla loro struttura giuridica. In secondo luogo la qualificazione di un’attività come economica – e quindi di un ente come «impresa» – ai fini dell’applicazione del diritto della concorrenza, dipende dal contesto esaminato. Allo stesso modo, l’identificazione delle entità che rientrano nel perimetro dell’«impresa» dipende dall’oggetto dell’infrazione contestata.

50.

Queste osservazioni rilevano giustamente che, nel diritto della concorrenza dell’Unione, si accorda priorità ai gruppi economici, omettendo di tenere conto delle strutture giuridiche dell’entità di cui trattasi. Detto ciò, il secondo aspetto limita tale prospettiva nel senso che l’identificazione dell’entità o persona responsabile dell’infrazione e, di conseguenza, l’ammenda concreta dipendono dalla stessa infrazione contestata.

51.

Di conseguenza, uno degli elementi che caratterizza la nozione di «impresa» che dovrebbe essere considerato per fissare l’importo di base e la sua calibrazione (al fine di fissare la sanzione pecuniaria concreta) è il livello di partecipazione di altre società di quell’impresa nella violazione del RGPD. A tale riguardo, è stato sostenuto in giurisprudenza nazionale relativa al diritto della concorrenza dell’Unione che «concettualmente, la questione dell’esistenza di un’“impresa” e la questione dell’imputazione della responsabilità tra diverse società all’interno di un’“impresa” sono distinte (...) [ ( 31 )][e] un soggetto non è ipso facto responsabile per una violazione dell’articolo 101 [TFUE] per il mero fatto di essere un membro di un’impresa responsabile per la violazione in forza del diritto dell’Unione, in circostanze in cui il soggetto in questione non ha partecipato alla violazione né aveva influenza determinante sul comportamento nel mercato rilevante di un altro membro (di altri membri) dell’impresa che ha partecipato (...) In tali circostanze potrebbe essere improbabile che il soggetto di cui trattasi sarebbe di fatto considerato parte di quella “impresa”» ( 32 ).

52.

A mio giudizio, gli argomenti sopra esposti sono rilevanti anche per considerare quali soggetti rientrino nella nozione di «impresa» al fine di determinare la sanzione pecuniaria concreta per la violazione del RGPD. Ciò avviene in particolare qualora l’autorità di controllo abbia esplicitamente accertato che la società madre non era coinvolta in qualità di titolare del trattamento o di responsabile del trattamento nella violazione in questione ( 33 ), come avviene nel procedimento principale.

53.

Sebbene il legislatore dell’Unione entro certi limiti abbia creato un ponte tra i due settori di diritto dell’Unione al fine di fissare gli importi massimi delle sanzioni pecuniarie, le disposizioni del RGPD e quelle del diritto della concorrenza dell’Unione perseguono obiettivi diversi. Il regime del RGPD è diverso da quello delle norme della concorrenza dell’Unione ed è basato sulla nozione della responsabilità del titolare (e del responsabile) per il trattamento lecito dei dati personali. In altri termini, mentre il diritto della concorrenza dell’Unione è rivolto alle «imprese» (esso esprime il suo divieto riferendosi a un’«impresa»), il RGPD si focalizza su «titolari» e «responsabili» del trattamento. Ricordo anche che, atteso che la dottrina dell’«unità economica» non può essere scissa dall’ampia logica del diritto della concorrenza dell’Unione e dal suo oggetto, la Corte ha precedentemente rifiutato di estendere la sua applicazione per analogia ad altri settori del diritto dell’Unione, ad esempio a quello della responsabilità extracontrattuale, basata sul secondo comma dell’articolo 340 TFUE ( 34 ).

54.

Tenendo presenti queste considerazioni, diviene evidente il perché la Corte abbia chiaramente ristretto le implicazioni del diritto della concorrenza dell’Unione per l’applicazione del RGPD (e segnatamente per le sanzioni pecuniarie in forza del RGPD). Nella sentenza Deutsche Wohnen (punto 53), la Corte ha dichiarato che la nozione di «impresa», ai sensi degli articoli 101 e 102 TFUE, «non incide sulla questione se e a quali condizioni una sanzione amministrativa pecuniaria possa essere inflitta ai sensi dell’articolo 83 del RGPD a un titolare del trattamento che sia una persona giuridica, questione disciplinata in modo tassativo dall’articolo 58, paragrafo 2, e dall’articolo 83, paragrafi da 1 a 6, di tale regolamento». La Corte ha proseguito osservando (al punto 54) che tale nozione «assume (…) rilievo solo in sede di determinazione dell’importo della sanzione amministrativa pecuniaria inflitta a un titolare del trattamento ai sensi dell’articolo 83, paragrafi da 4 a 6, del RGPD [che verte sull’importo massimo]» (corsivo aggiunto). Inoltre, statuendo (al punto 53) che la questione se, e a quali condizioni, possa essere inflitta una sanzione amministrativa pecuniaria «è disciplinata in modo tassativo dall’articolo 58, paragrafo 2, e dall’articolo 83, paragrafi da 1 a 6, di tale regolamento» (corsivo aggiunto), la Corte ha chiarito ulteriormente che, nella fissazione della sanzione pecuniaria concreta, occorre applicare integralmente le condizioni dell’articolo 83, paragrafi da 1 a 6, e che nessuno di questi paragrafi è primus inter pares.

55.

Pertanto, il «fatturato» dell’«impresa» è soltanto uno dei molteplici elementi che devono essere presi in considerazione allorché si invoca la responsabilità di un titolare (o di un responsabile) del trattamento e si infligge una sanzione in forza del RGPD che sia effettiva, proporzionale e dissuasiva.

56.

È vero che la giurisprudenza della Corte indica che, nel diritto della concorrenza dell’Unione, in talune situazioni tenere conto del fatturato di un’impresa può essere giustificato – ma soltanto come uno degli elementi rilevanti tra gli altri – al fine di calcolare l’importo effettivo dell’ammenda (ad esempio se si aumenta l’ammenda di base a scopo dissuasivo) ( 35 ).

57.

Pertanto, a mio avviso, dovrebbe essere possibile basarsi sulla nozione di «impresa» ai sensi degli articoli 101 e 102 TFUE nella fissazione della sanzione pecuniaria concreta, ma soltanto se ciò sia debitamente giustificato ai fini della dissuasione e dell’efficacia della sanzione. Effettivamente, sotto questo aspetto, l’uso di tale nozione deve essere sfumato e individualizzato in ogni singolo caso. Più in particolare, essa può essere usata come un meccanismo di adeguamento quando si considerano le circostanze specifiche di un singolo caso una volta accertata l’applicazione della sanzione pecuniaria in osservanza dell’articolo 83, paragrafo 2, del RGPD. Il giudice del rinvio è pertanto tenuto a determinare, nella presente causa, se esistano circostanze che giustificherebbero l’aumento della sanzione pecuniaria in questo modo, segnatamente a fini dissuasivi.

58.

La problematica dell’individualizzazione delle sanzioni pecuniarie del RGPD ( 36 ) è stata affrontata anche dal Comitato europeo per la protezione dei dati (in prosieguo: l’«EDPB») ( 37 ). Nelle sue linee guida sul calcolo delle sanzioni amministrative pecuniarie ai sensi del RGPD ( 38 ), redatte ai sensi dell’articolo 70, paragrafo 1, lettera k), del RGPD, l’EDPB cerca di standardizzare il potere sanzionatorio delle autorità di controllo ai sensi del RGPD all’interno dell’Unione europea. In particolare, l’EDPB dichiara di considerare «che tre elementi costituiscano il punto di partenza per l’ulteriore calcolo: la classificazione delle violazioni in base alla loro natura ai sensi dell’articolo 83, paragrafi da 4 a 6, [RGPD], la gravità della violazione (…) e il fatturato dell’impresa come elemento pertinente da prendere in considerazione affinché la sanzione pecuniaria inflitta sia effettiva, dissuasiva e proporzionata, ai sensi dell’articolo 83, paragrafo 1,[RGPD]». Se è vero che dette linee guida non sono vincolanti per la Corte, tali considerazioni mostrano che soltanto un approccio integrale che abbracci tutti gli elementi rilevanti di una specifica fattispecie può garantire che la sanzione pecuniaria soddisfi i requisiti chiave di cui all’articolo 83 di quel regolamento, segnatamente, che la sanzione pecuniaria concretamente inflitta sia effettiva, proporzionata e dissuasiva.

59.

Di conseguenza, al fine di determinare l’importo della sanzione pecuniaria concreta, invito la Corte a considerare che i seguenti aspetti dovrebbero essere pertinenti nell’applicazione della nozione di «impresa» al fine di fissare la sanzione pecuniaria concreta ai sensi dell’articolo 83 del RGPD. In primo luogo, si dovrebbe valutare se la società madre abbia esercitato il suo potere decisionale riguardo alle attività specifiche del titolare del trattamento o del responsabile del trattamento coinvolto nella violazione o nelle violazioni del RGPD. In secondo luogo, occorre considerare se uno specifico trattamento dei dati contrario al RGPD riguardi la società di cui trattasi e/o l’intero gruppo. In terzo luogo, è necessario stabilire se più di una società facenti parte del gruppo fosse coinvolta nella violazione o nelle violazioni del RGPD.

60.

A questo riguardo, sottolineo che è rilevante il seguente elenco non tassativo di elementi: (i) nella presente causa ( 39 ) – contrariamente a quella che ha dato origine alla sentenza Deutsche Wohnen – risulta che il gruppo Lars Larsen Group e/o la sua società madre non erano coinvolti nel procedimento penale; (ii) le accuse sono state formulate soltanto nei confronti dell’ILVA e non del gruppo ( 40 ); e (iii) la violazione del RGPD nel procedimento principale era limitata soltanto ai clienti dell’ILVA e ai loro dati personali, e non vi era alcuna indicazione che la violazione fosse stata commessa a livello del gruppo stesso o che il trattamento da parte dell’ILVA fosse legato ad altre società del gruppo. Occorre sottolineare che nella causa che ha dato origine alla sentenza Deutsche Wohnen, la «società interessata» ha assunto tutta la responsabilità per il trattamento dei dati, ossia anche per il trattamento dei dati delle altre società del gruppo ( 41 ).

61.

Spetta tuttavia al giudice del rinvio – l’unico avente giurisdizione a statuire sui fatti – effettuare le verifiche necessarie a questo riguardo e considerare tali elementi nonché la rilevanza e il peso da attribuire ai medesimi al fine di fissare l’importo appropriato della sanzione pecuniaria concreta da infliggere all’ILVA.

62.

Sebbene il giudice del rinvio non abbia presentato alcuna questione a questo riguardo, considero che – al fine di fornire una risposta completa a quel giudice – sia opportuno approfondire brevemente taluni aspetti specifici della presente causa.

63.

L’interpretazione dell’articolo 83, paragrafi da 1 a 6, nel caso del procedimento principale deve essere effettuata, in particolare, in combinato disposto con l’articolo 83, paragrafo 9, del RGPD ( 42 ) – una questione che non è stata affrontata dalla Corte nella sentenza Deutsche Wohnen ( 43 ). Pertanto, il regime per fissare una sanzione pecuniaria concreta appropriata ai sensi dell’articolo 83 del RGPD nella presente causa deve essere interpretato in un modo coerente con le garanzie essenziali di un procedimento penale.

64.

Nel contesto dell’analisi dell’impatto dell’articolo 83, paragrafo 9, sulla presente causa, occorre anche tenere conto del considerando 151 del RGPD, secondo il quale «i sistemi giudiziari di Danimarca ed Estonia [ ( 44 )] non consentono l’irrogazione di sanzioni amministrative pecuniarie come previsto dal presente regolamento». Il considerando fornisce quindi orientamenti sulla compatibilità di differenti procedure con le tre condizioni chiave per la sanzione pecuniaria concreta ai sensi del regime del RGPD, ossia che «in ogni caso, le sanzioni pecuniarie irrogate dovrebbero essere effettive, proporzionate e dissuasive». Pertanto è importante esaminare brevemente l’impatto del diritto dell’Unione sulle sanzioni pecuniarie inflitte in procedimenti penali al fine di garantire che siano rispettate queste tre condizioni anche in un caso specifico come il presente.

65.

In udienza, l’ILVA ha invocato, da un lato, l’articolo 41 della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»). Tale articolo reca il titolo «Diritto a una buona amministrazione», e, segnatamente, l’articolo 41, paragrafo 2, lettera c), sottolinea «l’obbligo per l’amministrazione di motivare le proprie decisioni», ma l’ILVA non ha dedotto argomenti specifici a tale riguardo.

66.

D’altro canto, l’ILVA ha fatto riferimento anche all’articolo 49 della Carta. Infatti, considero che, interpretando l’articolo 83, paragrafi da 1 a 6, del RGPD, occorre tenere conto di quell’articolo della Carta, intitolato «Principi della legalità e della proporzionalità dei reati e delle pene» e che assume pertanto rilevanza nella fattispecie oggetto del procedimento principale. L’articolo 49, paragrafo 3, della Carta dispone, segnatamente, che «le pene inflitte non devono essere sproporzionate rispetto al reato».

67.

Effettivamente, dalla giurisprudenza della Corte discende che il principio di proporzionalità costituisce uno dei principi generali del diritto dell’Unione alla base delle tradizioni costituzionali comuni agli Stati membri e che devono essere rispettati dalle autorità nazionali quando applicano il diritto dell’Unione o danno esecuzione a quest’ultimo. Esso impone agli Stati membri di adottare misure adeguate a garantire la realizzazione degli obiettivi perseguiti e non eccedenti quanto necessario per raggiungerli ( 45 ).

68.

Pertanto, la severità di una sanzione deve corrispondere alla gravità della violazione di cui trattasi, obbligo, questo, che deriva tanto dall’articolo 52, paragrafo 1, della Carta, quanto dal principio di proporzionalità delle pene, sancito all’articolo 49, paragrafo 3, della stessa ( 46 ).

69.

Risulta dalle spiegazioni relative alla Carta ( 47 ) che, ai sensi dell’articolo 52, paragrafo 3, della stessa, nei limiti in cui il diritto garantito al suo articolo 49 corrisponde anche a un diritto garantito dalla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, firmata a Roma il 4 novembre 1950 (in prosieguo: la «CEDU»), il suo significato e la sua portata sono uguali a quelli conferiti dalla CEDU. Pertanto, le condizioni stabilite dalla Corte europea dei diritti dell’uomo in materia di proporzionalità delle sanzioni sono applicabili a una controversia come quella di cui al procedimento principale, mediante il combinato disposto dell’articolo 17, paragrafo 1, dell’articolo 51, paragrafo 1, e dell’articolo 52, paragrafi 1 e 3, della Carta ( 48 ).

70.

La giurisprudenza della Corte chiarisce che il principio di proporzionalità esige, da un lato, che la sanzione inflitta rifletta la gravità della violazione e, dall’altro lato, che, nella determinazione della sanzione nonché dell’importo dell’ammenda, si tenga conto delle specifiche circostanze del caso di specie ( 49 ). Riguardo a tale secondo elemento, la giurisprudenza evidenzia che il giudice del rinvio deve tenere conto di criteri oggettivi come la gravità e la durata della violazione nonché di qualsiasi circostanza aggravante e attenuante, al fine di assicurare che la sanzione sia effettiva, proporzionata e dissuasiva ( 50 ).

71.

In secondo luogo, in cause analoghe la Corte EDU bilancia i vari interessi in gioco e tiene conto della natura, della gravità e dell’effetto dissuasivo della sanzione penale del ricorrente. Essa chiarisce che l’obbligo imposto agli Stati di sanzionare penalmente e infliggere pene ( 51 ) al fine di proteggere il pubblico ( 52 ) dà luogo a un corrispondente obbligo di garantire che la punizione inflitta non sia eccessiva.

72.

La Corte EDU ha dichiarato che «non si raggiungerà l’equilibrio richiesto se il soggetto interessato sopporta un onere individuale e eccessivo»; pertanto «una responsabilità finanziaria derivante da una sanzione pecuniaria potrebbe pregiudicare la garanzia fornita da quella disposizione se impone un onere eccessivo alla persona o se incide in modo fondamentale sulla sua posizione finanziaria» ( 53 ).

73.

Ne consegue che gli specifici aspetti procedurali della causa nel procedimento principale e il diritto dell’Unione e la giurisprudenza della Corte EDU riguardo alle sanzioni pecuniarie inflitte in procedimenti penali esigono che il giudice del rinvio tenga conto di tutti gli elementi rilevanti della causa nel fissare la concreta sanzione pecuniaria per violazioni del RGPD. Le garanzie procedurali di una persona accusata nonché il principio di proporzionalità, come interpretati nella giurisprudenza della Corte di giustizia e della Corte EDU, esigono che le pene corrispondano alla gravità del reato e che siano prese in considerazione le circostanze individuali della singola fattispecie.

74.

Alla luce di questi requisiti, il giudice del rinvio deve assicurare che il principio di proporzionalità sia osservato nella fissazione della concreta sanzione pecuniaria, per raggiungere un giusto equilibrio tra le esigenze dell’interesse generale della comunità ai fini della tutela dei dati personali e le esigenze della tutela dei diritti fondamentali ( 54 ) del titolare del trattamento, del responsabile del trattamento o dell’impresa di cui esso fa parte.

75.

Suggerisco alla Corte di rispondere alle questioni pregiudiziali presentate dal Vestre Landsret (Corte regionale dell’Ovest, Danimarca) come segue:

L’articolo 83, paragrafi da 4 a 6, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),

deve essere interpretato nel senso che, quando sono inflitte sanzioni pecuniarie al titolare del trattamento o al responsabile del trattamento che è (o fa parte di) un’impresa, la nozione di «impresa» deve essere intesa nel senso che corrisponde alla nozione di «impresa» ai sensi degli articoli 101 e 102 TFUE, al fine di fissare l’importo massimo della sanzione pecuniaria. Pertanto, si tiene conto del fatturato mondiale totale annuo dell’impresa di cui fa parte il titolare del trattamento o il responsabile del trattamento.

Tuttavia, per determinare la sanzione pecuniaria concreta da infliggere, la nozione di «impresa» deve essere interpretata in combinato disposto con l’articolo 83, paragrafi 1 e 2, del regolamento 2016/679 e utilizzata come un elemento pertinente tra altri, allorché si considerano le circostanze specifiche del singolo caso. A tale riguardo, le circostanze specifiche possono riferirsi al potere decisionale della società madre, all’estensione del trattamento dei dati che viola le norme di quel regolamento e al numero delle entità dell’impresa coinvolte nell’infrazione.

Inoltre, quando una siffatta sanzione pecuniaria è inflitta da un’autorità giurisdizionale nazionale nel quadro di un procedimento penale, in combinato disposto con l’articolo 83, paragrafo 9, del regolamento 2016/679, la sanzione pecuniaria concreta deve essere valutata alla luce dei principi applicabili in diritto penale. In tale contesto, l’autorità giurisdizionale nazionale deve assicurare che sia rispettato il principio di proporzionalità nella fissazione della sanzione pecuniaria concreta, raggiungendo un giusto equilibrio tra le esigenze dell’interesse generale della comunità in materia di tutela dei dati personali e le esigenze della tutela dei diritti fondamentali del titolare del trattamento, del responsabile del trattamento o dell’impresa di cui esso fa parte.