La Corte di Giustizia UE, sezione prima, con la sentenza del 26 settembre 2024 nella causa C-768/21, intervenendo in tema di sanzioni amministrative a seguito di violazione del regolamento Ue sulla privacy n. 2016/679, ha riaffermato che le sanzioni amministrative pecuniarie di cui all’articolo 58, paragrafo 2, lettera i), del RGPD, dall’articolo 83, paragrafo 2, di tale regolamento risulta che esse sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui a tale articolo 58, paragrafo 2 o in luogo di tali misure. Inoltre, tale articolo 83, paragrafo 2, precisa che, al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa, l’autorità di controllo in ogni singolo caso tiene debitamente conto degli elementi di cui alle lettere da a) a k) di tale disposizione, quali la natura, la gravità e la durata della violazione.

(…) Pertanto, il legislatore dell’Unione ha previsto un sistema di sanzioni che consente alle autorità di controllo di imporre le sanzioni più appropriate e giustificate a seconda delle circostanze di ciascun caso (v., in tal senso, sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, punti 75 e 78) “

I giudici unionali hanno premesso che conformemente all’articolo 8, paragrafo 3, della Carta dei diritti fondamentali dell’Unione europea, nonché all’articolo 51, paragrafo 1, e all’articolo 57, paragrafo 1, lettera a), del RGPD, le autorità nazionali di controllo sono incaricate di controllare il rispetto delle norme dell’Unione relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali [sentenza del 7 dicembre 2023, SCHUFA Holding (Esdebitazione), C-26/22 e C-64/22, EU:C:2023:958, punto 55 e giurisprudenza citata].

(…) In particolare, a norma dell’articolo 57, paragrafo 1, lettera f), del RGDP, ogni autorità di controllo è tenuta, nel suo territorio, a trattare i reclami che qualsiasi persona, ai sensi dell’articolo 77, paragrafo 1, di tale regolamento, ha il diritto di proporre quando considera che un trattamento di dati personali che la riguardano costituisca una violazione di tale regolamento, ad esaminarne l’oggetto nella misura necessaria e ad informare l’autore del reclamo dello stato e dell’esito dell’indagine entro un termine ragionevole. L’autorità di controllo deve trattare un siffatto reclamo con la dovuta diligenza [v, in tal senso, sentenza del 7 dicembre 2023, SCHUFA Holding (Esdebitazione) C-26/22 e C-64/22, EU:C:2023:958, punto 56 e giurisprudenza citata].

(…) Al fine del trattamento dei reclami così presentati, l’articolo 58, paragrafo 1, del RGDP conferisce a ciascuna autorità di controllo significativi poteri di indagine. Quando una siffatta autorità constata, al termine della sua indagine, una violazione delle disposizioni di tale regolamento, essa è tenuta a reagire in modo appropriato al fine di porre rimedio all’inadeguatezza constatata, poiché qualsiasi misura, come precisato dal considerando 129 di tale regolamento, deve, in particolare, essere appropriata, necessaria e proporzionata al fine di assicurare la conformità a detto regolamento, tenuto conto delle circostanze di ciascun singolo caso. A tal fine, l’articolo 58, paragrafo 2, di tale regolamento elenca le diverse misure correttive che l’autorità di controllo può adottare [v., in tal senso, sentenza del 7 dicembre 2023, SCHUFA Holding (Esdebitazione), C-26/22 e C-64/22, EU:C:2023:958, punto 57 e giurisprudenza citata).

(…) Pertanto, in forza dell’articolo 58, paragrafo 2, del RGPD, l’autorità di controllo ha il potere, in particolare, di richiamare all’ordine un titolare del trattamento o un responsabile del trattamento ove i trattamenti abbiano comportato una violazione delle disposizioni di tale regolamento [lettera b)], di ordinare al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i suoi diritti ai sensi di detto regolamento [lettera c)], di ordinare al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del medesimo regolamento, se del caso, in modo specifico ed entro un termine determinato [lettera d)], o ancora di imporre una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 del RGPD, in aggiunta o in luogo delle misure di cui a tale articolo 58, paragrafo 2, in funzione delle caratteristiche specifiche di ciascun caso [punto i)].

(…) Ne consegue che la procedura di reclamo è concepita come un meccanismo idoneo a salvaguardare efficacemente i diritti e gli interessi delle persone coinvolte [sentenza del 7 dicembre 2023, SCHUFA Holding (Esdebitazione), C-26/22 e C-64/22, EU:C:2023:958, punto 58]. “

In particolare nella sentenza in commento i giudici hanno evidenziato che il RGPD lascia all’autorità di controllo un margine di discrezionalità quanto al modo in cui essa deve porre rimedio all’inadeguatezza constatata, poiché l’articolo 58, paragrafo 2, di quest’ultimo conferisce a tale autorità il potere di adottare diverse misure correttive. Pertanto, la Corte ha già dichiarato che la scelta del mezzo appropriato e necessario spetta all’autorità di controllo che deve fare tale scelta prendendo in considerazione tutte le circostanze del caso concreto e assolvendo al suo compito di vigilare sul pieno rispetto del RGPD con tutta la diligenza richiesta (v., in tal senso, sentenza del 16 luglio 2020, Facebook Ireland e Schrems, C-311/18, EU:C:2020:559, punto 112).”

Per i giudici della corte UE  non è escluso che, in via eccezionale e tenuto conto delle circostanze particolari del caso concreto, l’autorità di controllo possa omettere di adottare una misura correttiva nonostante sia stata constatata una violazione di dati personali. Ciò potrebbe verificarsi, in particolare, qualora la violazione constatata non sia persistita, ad esempio qualora il titolare del trattamento, che aveva, in linea di principio, attuato misure tecniche e organizzative adeguate ai sensi dell’articolo 24 del RGPD, abbia adottato, non appena ne sia venuto a conoscenza di tale violazione, le misure appropriate e necessarie affinché detta violazione cessasse e non si ripeta, tenuto conto degli obblighi ad esso incombenti, in particolare, ai sensi dell’articolo 5, paragrafo 2, e dell’articolo 24 di tale regolamento.

(…) L’interpretazione secondo la quale l’autorità di controllo, qualora constati una violazione di dati personali, non è tenuta ad adottare in tutti i casi una misura correttiva ai sensi dell’articolo 58, paragrafo 2, del RGPD è corroborata dagli obiettivi perseguiti rispettivamente da tale articolo 58, paragrafo 2, nonché dall’articolo 83 di tale regolamento.

(…) Per quanto riguarda l’obiettivo perseguito dall’articolo 58, paragrafo 2, del RGPD, dal considerando 129 del medesimo risulta che tale disposizione mira a garantire la conformità del trattamento dei dati personali a tale regolamento nonché il ripristino di situazioni di violazione di quest’ultimo per renderle conformi al diritto dell’Unione, grazie all’intervento delle autorità nazionali di controllo (sentenza del 14 marzo 2024, Újpesti Polgármesteri Hivatal, C-46/23, EU:C:2024:239, punto 40).

(…) Ne consegue che l’adozione di una misura correttiva può, in via eccezionale e tenuto conto delle circostanze particolari del caso concreto, non imporsi, a condizione che la situazione di violazione del RGPD sia già stata ripristinata e che sia garantita la conformità dei trattamenti di dati personali a tale regolamento da parte del loro titolare, e che una siffatta omissione dell’autorità di controllo non sia tale da pregiudicare il requisito di un’applicazione rigorosa delle norme, come ricordato al punto 38 della presente sentenza.

(…) Quanto all’obiettivo perseguito dall’articolo 83 del RGPD, relativo all’imposizione di sanzioni amministrative pecuniarie, esso consiste, ai sensi del considerando 148 di tale regolamento, nel rafforzare il rispetto delle norme di quest’ultimo. Tuttavia, tale medesimo considerando enuncia che è consentito alle autorità di controllo, nel caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisca un onere sproporzionato per una persona fisica, di astenersi dall’imporre una sanzione pecuniaria e di rivolgere, in suo luogo, un ammonimento (v., in tal senso, sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, punto 76). “

In particolare risulta chiaro, alla luce dell’interpretazione della CGUE e della giurisdizione della Cassazione, che l’articolo 83 cit. dispone un obbligo in capo ai garanti e giudici di verificare che le sanzioni privacy siano in ogni singolo caso effettive, proporzionate e dissuasive. Per i giudici di legittimità  i suddetti requisiti sono cumulativi per cui la mancanza di uno solo di essi comporta il divieto di irrogazione delle sanzioni. Pertanto se in un caso in cui non occorre la dissuasione (come nel caso in cui la violazione sia avvenuta per eventi eccezionali) oppure in mancanza di recidiva è possibile per le autorità non applicare la sanzione amministrativa.