Causa C‑807/21
Deutsche Wohnen SE
contro
Staatsanwaltschaft Berlin
(domanda di pronuncia pregiudiziale proposta dal Kammergericht Berlin)
Sentenza della Corte (Grande Sezione) del 5 dicembre 2023
«Rinvio pregiudiziale - Protezione dei dati personali - Regolamento (UE) 2016/679 - Articolo 4, punto 7 - Nozione di “titolare del trattamento” - Articolo 58, paragrafo 2 - Poteri correttivi delle autorità di controllo - Articolo 83 - Imposizione di sanzioni amministrative pecuniarie a una persona giuridica - Presupposti - Margine di manovra degli Stati membri»
1. Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Imposizione di sanzioni amministrative pecuniarie – Presupposti – Assenza di un margine di manovra degli Stati membri per prevedere le condizioni sostanziali relative all’imposizione di una sanzione pecuniaria amministrativa a un titolare del trattamento – Rilevanza della nozione d’impresa ai sensi degli articoli 101 e 102 TFUE limitata al calcolo di una sanzione pecuniaria – Normativa nazionale che subordina la possibilità di imporre una sanzione pecuniaria a una persona giuridica nella sua qualità di titolare del trattamento alla condizione di una previa imputazione della violazione di cui trattasi a una persona fisica identificata – Inammissibilità
(Artt. 101, 102, 288, comma 2, TFUE; regolamento del Parlamento europeo e del Consiglio 2016/679, considerando 10, 11, 74, 129 e 150 e art. 4, punto 7, 58, §§ 2 e 4, e 83)
(v. punti 38, 43‑60, dispositivo 1)
2. Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Nozione di titolare del trattamento – Persona giuridica – Inclusione – Presupposto – Partecipazione effettiva alla determinazione delle finalità e degli strumenti del trattamento
(Regolamento del Parlamento europeo e del Consiglio 2016/679, art. 4, punto 7)
(v. punti 39‑42)
3. Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Imposizione di sanzioni pecuniarie amministrative – Presupposti – Assenza di un margine di manovra degli Stati membri per prevedere le condizioni sostanziali relative all’imposizione di una sanzione pecuniaria amministrativa a un titolare del trattamento – Necessità che la violazione commessa dal titolare del trattamento abbia carattere doloso o colposo
(Regolamento del Parlamento europeo e del Consiglio 2016/679, considerando 9, 13 e 148 e artt. 58, § 2, e 83)
(v. punti 65‑78, 86, dispositivo 2)
Sintesi
La Deutsche Wohnen SE (in prosieguo: la «DW») è una società immobiliare che detiene indirettamente, tramite partecipazioni in diverse società, numerose unità commerciali e abitative. Essa tratta, nell’ambito delle sue attività commerciali, i dati personali dei locatari di tali unità.
A seguito di due controlli effettuati nel 2017 e nel 2019, la Berliner Beauftragte für den Datenschutz (autorità di controllo di Berlino, Germania) ha constatato una serie di violazioni del RGPD(1) commesse dalla DW. Con decisione del 30 ottobre 2019, detta autorità di controllo le ha inflitto talune sanzioni pecuniarie amministrative a tale titolo.
La DW ha proposto ricorso avverso detta decisione dinanzi al Landgericht Berlin (Tribunale del Land di Berlino, Germania), il quale ha archiviato il procedimento. Tale tribunale ha rilevato che, in forza della legge tedesca(2), un illecito amministrativo potrebbe essere constatato solo nei confronti di una persona fisica e non nei confronti di una persona giuridica. Inoltre, nel caso di un coinvolgimento della responsabilità di una persona giuridica, a questa potrebbero essere imputati solo gli atti dei membri dei suoi organi o dei suoi rappresentanti. La Staatsanwaltschaft Berlin (procura di Berlino, Germania) ha proposto ricorso avverso tale decisione dinanzi al Kammergericht Berlin (Tribunale superiore del Land di Berlino, Germania). In tale contesto, detto giudice ha adito la Corte in via pregiudiziale in merito all’interpretazione del RGPD (3).
Nella sua sentenza la Corte, riunita in Grande Sezione, si pronuncia sulle condizioni per infliggere sanzioni amministrative pecuniarie ai sensi del RGPD. In primo luogo, essa esamina la questione se gli Stati membri possano subordinare l’irrogazione di una sanzione amministrativa pecuniaria ad una persona giuridica alla condizione che la violazione di tale regolamento sia previamente imputata a una persona fisica identificata. In secondo luogo, essa si sofferma sulla questione se la violazione delle disposizioni del RGPD sanzionata debba essere commessa con dolo o colpa(4).
Giudizio della Corte
Per quanto riguarda l’imposizione di una sanzione pecuniaria amministrativa in forza del RGPD a una persona giuridica, la Corte rileva, anzitutto, che i principi, i divieti e gli obblighi stabiliti dal RGPD si rivolgono, in particolare, ai «titolari del trattamento» la cui responsabilità si estende a qualsiasi trattamento di dati personali effettuato direttamente o che altri abbiano effettuato per loro conto. È tale responsabilità che, in caso di violazioni delle disposizioni del RGPD, costituisce il fondamento per l’irrogazione di una sanzione amministrativa pecuniaria al titolare del trattamento ai sensi dell’articolo 83 di tale regolamento. Tuttavia, il legislatore dell’Unione non ha operato, ai fini della determinazione di siffatta responsabilità, una distinzione tra persone fisiche e persone giuridiche; tale responsabilità è subordinata all’unica condizione che queste, da sole o insieme ad altri, determinino le finalità e gli strumenti del trattamento di dati personali(5). Pertanto, in linea di principio, ogni persona che soddisfi la suindicata condizione è responsabile, in particolare, per qualsiasi violazione del RGPD, commessa dalla stessa o per suo conto. Ciò implica, da un lato, che le persone giuridiche sono responsabili non solo delle violazioni commesse dai loro rappresentanti, dirigenti o amministratori, ma anche da qualsiasi altra persona che agisca nell’ambito dell’attività commerciale di tali persone giuridiche e per loro conto. Dall’altro, le sanzioni amministrative pecuniarie previste dal RGPD in caso di siffatte violazioni devono poter essere inflitte direttamente alle persone giuridiche ove queste possano essere qualificate come titolari del trattamento.
Poi, la Corte osserva che nessuna disposizione del RGPD consente di ritenere che l’irrogazione di una sanzione amministrativa pecuniaria a una persona giuridica, in quanto titolare del trattamento, sia subordinata alla previa constatazione che tale violazione sia stata commessa da una persona fisica identificata. Inoltre, il legislatore dell’Unione non ha lasciato agli Stati membri un margine di discrezionalità al riguardo. Il fatto che il RGPD conceda a questi ultimi la facoltà di prevedere requisiti relativi alla procedura che le autorità di controllo devono seguire per infliggere una sanzione amministrativa pecuniaria(6) non significa affatto che essi siano parimenti autorizzati a prevedere condizioni sostanziali supplementari rispetto a quelle stabilite dal RGPD.
In tale contesto, la Corte precisa che consentire agli Stati membri di richiedere unilateralmente e quale condizione necessaria per imporre una sanzione pecuniaria amministrativa, ai sensi dell’articolo 83 del RGPD, a un titolare del trattamento che sia una persona giuridica, che la violazione in questione sia previamente imputata o imputabile a una persona fisica identificata sarebbe contrario alla finalità del RGPD. Inoltre, un siffatto requisito supplementare rischierebbe, in definitiva, di indebolire l’efficacia e l’effetto dissuasivo delle sanzioni amministrative pecuniarie inflitte a persone giuridiche in quanto titolari del trattamento.
Infine, la Corte sottolinea che la nozione di «impresa», ai sensi degli articoli 101 e 102 TFUE(7), non incide sulla questione se e a quali condizioni una sanzione amministrativa pecuniaria possa essere inflitta in forza del RGPD a un titolare del trattamento che sia una persona giuridica ed assume rilievo solo in sede di determinazione dell’importo della sanzione.
Pertanto, la Corte conclude che il RGPD(8) osta a una normativa nazionale in forza della quale una sanzione amministrativa pecuniaria può essere inflitta a una persona giuridica, nella sua qualità di titolare del trattamento, per una violazione di detto regolamento(9) solo a condizione che tale violazione sia stata previamente imputata a una persona fisica identificata.
Per quanto riguarda la questione se gli Stati membri possano prevedere l’imposizione di una sanzione amministrativa pecuniaria anche qualora la violazione sanzionata non sia stata commessa con dolo o colpa, la Corte ricorda, anzitutto, che le condizioni sostanziali che un’autorità di controllo deve soddisfare nell’infliggere una simile sanzione a un titolare del trattamento ricadono esclusivamente nel diritto dell’Unione e che gli Stati membri non dispongono di alcun margine di manovra al riguardo.
Per quanto riguarda dette condizioni, la Corte osserva che tra gli elementi elencati nel RGPD in base ai quali l’autorità di controllo applica siffatta sanzione rientra «il carattere doloso o colposo della violazione»(10). Invece, nessuno di tali elementi indica una qualsiasi possibilità che il titolare del trattamento sia considerato responsabile in assenza di un suo comportamento colpevole. Pertanto, solo le violazioni delle disposizioni del RGPD commesse dal titolare del trattamento con dolo o colpa possono comportare l’imposizione di una sanzione amministrativa pecuniaria nei confronti di quest’ultimo ai sensi dell’articolo 83 di tale regolamento.
La Corte aggiunge che questa interpretazione è corroborata dall’impianto generale e dalla finalità del RGPD. In tale contesto, essa precisa che l’esistenza di un sistema sanzionatorio in forza del RGPD che, qualora le circostanze specifiche di ciascun caso lo giustifichino, consente di imporre una sanzione amministrativa pecuniaria crea, per i titolari del trattamento e per i responsabili del trattamento, un incentivo a conformarsi al regolamento in questione e che, grazie al loro effetto dissuasivo, le sanzioni amministrative pecuniarie contribuiscono a rafforzare la protezione delle persone interessate. Tuttavia, il legislatore dell’Unione non ha ritenuto necessario prevedere l’irrogazione di sanzioni amministrative pecuniarie in assenza di colpa. Dal momento che il RGPD mira a un livello di protezione al contempo equivalente e omogeneo e che esso, a tal fine, deve essere applicato in modo coerente in tutta l’Unione, sarebbe contrario a detto scopo consentire agli Stati membri di prevedere un simile regime per l’imposizione di una sanzione pecuniaria.
Di conseguenza, la Corte dichiara che, in forza dell’articolo 83 del RGPD, una sanzione amministrativa pecuniaria può essere inflitta solo qualora venga accertato che il titolare del trattamento, che sia al contempo una persona giuridica e un’impresa, ha commesso, con dolo o colpa, una violazione delle norme contenute in tale regolamento.