Garante: le violazioni della privacy di un’impresa non ricadono sul gruppo di cui fa parte

//Garante: le violazioni della privacy di un’impresa non ricadono sul gruppo di cui fa parte

Garante: le violazioni della privacy di un’impresa non ricadono sul gruppo di cui fa parte

2020-02-13T07:53:57+00:00Pillole di Privacy|0 Commenti

Le violazioni relative alla privacy da parte di una società ricadono soltanto su quest’ultima e non sul gruppo di cui fa parte e tali sanzioni vanno calcolate, dunque, sul giro d’affari della singola azienda responsabile del comportamento non corretto. E’ quanto si evince dalle ultime pronunzie del Garante della Privacy (n. 7 del 15 gennaio 2020, n. 231 e 232 dell’11 dicembre 2019) che hanno portato per alcune delle più importanti imprese operanti nel settore energetico e delle telecomunicazioni all’obbligo di pagamento di ingenti somme di denaro. Decisioni che sono state prese applicando le sanzioni pecuniarie per violazioni del Regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr). Pur essendo gli importi notevoli avrebbero potuto, tuttavia, essere molto più ingenti dato che le norme del Gdpr sono interpretabili nel senso che, per la base del calcolo, bisognerebbe far riferimento al fatturato dell’intero gruppo di cui fa parte la società che ha operato la violazione della privacy.

Con le sue decisioni il Garante della privacy, in maniera del tutto coerente con quanto previsto nel Gdpr, ha voluto adeguare (come spiegato dall’associazione “Persone & Privacy”) l’effetto sanzionatorio, mitigandolo, ma, allo stesso tempo, senza far perdere di valore l’effetto sanzionatorio delle sanzioni comminate alle imprese. Entrando nello specifico, è necessario analizzare l’art. 83 del Gdpr il quale prevede due diverse fasce di sanzioni alle imprese per le violazioni della privacy. La prima (violazioni di adempimenti) giunge al limite di 10.000.000 € o, se superiore, fino al 2% del fatturato mondiale annuo. La seconda fascia (violazione di principi e diritti) giunge al limite di 20.000.000 € o, se superiore, fino al 4% del fatturato mondiale anno. 

La questione è sostanziale: una cosa è prendere in considerazione come unità di calcolo il fatturato di un’azienda e ben altra cosa è prendere in considerazione il fatturato di tutto il gruppo di cui fa parte la società operante l’infrazione. Nel secondo caso, come facilmente comprensibile, si andrebbe incontro a sanzioni molto più pesanti. L’interpretazione derivante dalle Linee Guida n. 253/2017 del gruppo che riuniva tutti i garanti europei della privacy WP29 propende per l’idea che debba essere preso in considerazione il fatturato dell’intero gruppo. Il documento in questione, in particolare, si rifà al concetto di impresa fornito dalla Corte di Giustizia UE: “Il concetto di impresa va inteso come un’unità economica che può essere composta dall’impresa madre e da tutte le filiali coinvolte… un’impresa deve essere intesa quale unità economica che intraprende attività economiche/commerciali, a prescindere dalla persona giuridica implicata”.

Come già detto in precedenza, tuttavia, il Garante nei provvedimenti in analisi, ha optato per il riferimento al fatturato della singola impresa che ha violato la privacy. Per comprendere le conseguenze delle due diverse interpretazioni nel caso concreto è stata applicata una sanzione di 27,8 milioni (pari allo 0,2% del fatturato di una singola società) anziché una sanzione di 37,8 milioni, computando il fatturato di gruppo. Da tenere in considerazione che il massimo edittale del 4% (riferito al fatturato della singola società) sarebbe stato pari a 556 milioni di euro, mentre, se riferito al fatturato di gruppo, sarebbe addirittura a 757 milioni di Euro.

Il presidente dellìAssociazione di “Persone & Privacy” Antonio Ciccia Messina spiega l’orientamento dal Garante della privacy: “La scelta del Garante è del tutto congrua e condivisibile in quanto lo stesso Gdpr distingue, all’articolo 4, l’impresa dal gruppo di imprese e la norma sulle sanzioni, l’articolo 83, a ben vedere, si riferisce alle imprese e non ai gruppi. L’orientamento del Garante è anche apprezzabile da un punto di vista dell’equità, in quanto realizza il necessario bilanciamento fra diritti degli interessati e libertà di impresa. Il Garante, in un’ottica di prudenza, ha valutato l’impatto economico della sanzione sulle esigenze organizzative e occupazionali delle imprese”.

 

 

 

Informazioni sull'autore

Scrivi un commento