La determinazione delle sanzioni amministrative pecuniarie nei confronti di una impresa appartenente ad un gruppo di imprese, alla luce di una sentenza della Corte di Giustizia Europea.
-
- 3 Maggio 2025
La Corte di Giustizia dell’Unione Europea (di seguito, “CGUE”) attraverso la sentenza del 13 febbraio 2025 (C-383/23), ha prodotto l’interpretazione del concetto di impresa ai fini della determina di sanzioni amministrative pecuniarie in applicazione dell’art. 83 del regolamento UE 2016/679 (di seguito, “GDPR”).
Il caso
La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 83, paragrafi da 4 a 6, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1, e rettifica in GU 2018, L 127, pag. 3; in prosieguo: il «GDPR»).
2. Tale domanda è stata presentata nell’ambito di un procedimento penale avviato dall’Anklagemyndigheden (pubblico ministero, Danimarca) nei confronti dell’ILVA A/S per asserite violazioni degli obblighi incombenti a tale società in forza del GDPR nella sua qualità di titolare del trattamento dei dati personali relativi ad ex clienti.
Contesto normativo
I considerando 150 e 151 del GDPR sono formulati come segue:
«(150) Al fine di rafforzare e armonizzare le sanzioni amministrative applicabili per violazione del presente regolamento, ogni autorità di controllo dovrebbe poter imporre sanzioni amministrative pecuniarie. Il presente regolamento dovrebbe specificare le violazioni, indicare il limite massimo e i criteri per prevedere la relativa sanzione amministrativa pecuniaria, che dovrebbe essere stabilita dall’autorità di controllo competente in ogni singolo caso, tenuto conto di tutte le circostanze pertinenti della situazione specifica, in particolare della natura, gravità e durata dell’infrazione e delle relative conseguenze, nonché delle misure adottate per assicurare la conformità agli obblighi derivanti dal presente regolamento e prevenire o attenuare le conseguenze della violazione. Se le sanzioni amministrative sono inflitte a imprese, le imprese dovrebbero essere intese quali definite agli articoli 101[1] e 102[2] TFUE a tali fini. (…)
(151) I sistemi giudiziari di Danimarca ed Estonia non consentono l’irrogazione di sanzioni amministrative pecuniarie come previsto dal presente regolamento. Le norme relative alle sanzioni amministrative pecuniarie possono essere applicate in maniera tale che in Danimarca la sanzione pecuniaria sia irrogata dalle competenti autorità giurisdizionali nazionali quale sanzione penale e in Estonia la sanzione pecuniaria sia imposta dall’autorità di controllo nel quadro di una procedura d’infrazione, purché l’applicazione di tali norme in detti Stati membri abbia effetto equivalente alle sanzioni amministrative pecuniarie irrogate dalle autorità di controllo. Le competenti autorità giurisdizionali nazionali dovrebbero pertanto tener conto della raccomandazione dell’autorità di controllo che avvia l’azione sanzionatoria. In ogni caso, le sanzioni pecuniarie irrogate dovrebbero essere effettive, proporzionate e dissuasive».
4. L’articolo 5 del GDPR stabilisce i principi applicabili al trattamento dei dati personali.
5. L’articolo 6 del GDPR determina le condizioni alle quali un trattamento dei dati personali è considerato lecito.
6. L’articolo 58 del GDPR, intitolato «Poteri», al paragrafo 2 così recita:
«Ogni autorità di controllo ha tutti i poteri correttivi seguenti: (…)
i) infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso; (…)».
7. L’articolo 83 del GDPR, intitolato «Condizioni generali per infliggere sanzioni amministrative pecuniarie», ai paragrafi 1, 2, da 4 a 6 e 9, recita:
«1. Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive.
2. Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all’articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:
a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o [l]a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
b) il carattere doloso o colposo della violazione;
c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
f) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
g) le categorie di dati personali interessate dalla violazione;
h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
i) qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
j) l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42; e
k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione. (…)
4. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:(…)
5. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: (…)
6. In conformità del paragrafo 2 del presente articolo, l’inosservanza di un ordine da parte dell’autorità di controllo di cui all’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. (…)
9. Se l’ordinamento giuridico dello Stato membro non prevede sanzioni amministrative pecuniarie, il presente articolo può essere applicato in maniera tale che l’azione sanzionatoria sia avviata dall’autorità di controllo competente e la sanzione pecuniaria sia irrogata dalle competenti autorità giurisdizionali nazionali, garantendo nel contempo che i mezzi di ricorso siano effettivi e abbiano effetto equivalente alle sanzioni amministrative pecuniarie irrogate dalle autorità di controllo. In ogni caso, le sanzioni pecuniarie irrogate sono effettive, proporzionate e dissuasive. Tali Stati membri notificano alla Commissione le disposizioni di legge adottate a norma del presente paragrafo al più tardi entro il 25 maggio 2018 e comunicano senza ritardo ogni successiva modifica».
Per quanto di stretto interesse in questa sede
La decisione ha riguardato il seguente aspetto: se il termine “impres[a]” di cui all’articolo 83, paragrafi da 4 a 6, del [GDPR], debba essere inteso nel significato di impresa ai sensi degli articoli 101 e 102 TFUE, in combinato disposto con il considerando 150 [del GDPR], e della giurisprudenza della Corte in materia di diritto della concorrenza dell’Unione, nel senso che il termine “impresa” ricomprende qualsiasi entità che eserciti un’attività economica, a prescindere dal suo status giuridico e dalle sue modalità di finanziamento.
In caso di risposta affermativa alla prima questione, se l’articolo 83, paragrafi da 4 a 6, del [GDPR] debba essere interpretato nel senso che, nell’infliggere una sanzione pecuniaria a un’impresa, si deve tenere conto del fatturato mondiale totale annuo dell’entità economica di cui l’impresa fa parte, o soltanto del fatturato mondiale totale annuo dell’impresa stessa».
Sulle questioni pregiudiziali
La Corte ha stabilito che la nozione di «impresa», ai sensi degli articoli 101 e 102 TFUE, non incide sulla questione se e a quali condizioni una sanzione amministrativa pecuniaria possa essere inflitta ai sensi dell’articolo 83 del GDPR a un titolare del trattamento che sia una persona giuridica, questione disciplinata in modo tassativo dall’articolo 58, paragrafo 2, e dall’articolo 83, paragrafi da 1 a 6, di tale regolamento.
La nozione in parola assume infatti rilievo solo in sede di determinazione dell’importo della sanzione amministrativa pecuniaria inflitta a un titolare del trattamento ai sensi dell’articolo 83, paragrafi da 4 a 6, del GDPR.
È in tale specifico contesto del calcolo delle sanzioni amministrative pecuniarie inflitte per violazioni di cui all’articolo 83, paragrafi da 4 a 6, del GDPR che va inquadrato il riferimento, effettuato al considerando 150 di tale regolamento, alla nozione di «impresa» ai sensi degli articoli 101 e 102 TFUE.
Al riguardo occorre sottolineare che, ai fini dell’applicazione delle norme in materia di concorrenza di cui agli articoli 101 e 102 TFUE, la nozione in questione comprende qualsiasi ente che eserciti un’attività economica, a prescindere dal suo status giuridico e dalle sue modalità di finanziamento. Essa si riferisce pertanto a un’unità economica anche qualora, sotto il profilo giuridico, tale unità economica sia costituita da più persone, fisiche o giuridiche. Detta unità economica consiste in un’organizzazione unitaria di elementi personali, materiali e immateriali che persegue stabilmente un determinato fine di natura economica.
Pertanto, dall’articolo 83, paragrafi da 4 a 6, del GDPR, che si riferisce al calcolo delle sanzioni amministrative pecuniarie per le violazioni elencate in tali paragrafi, risulta che, nel caso in cui il destinatario della sanzione amministrativa pecuniaria sia o faccia parte di un’impresa ai sensi degli articoli 101 e 102 TFUE, l’importo massimo della sanzione amministrativa pecuniaria è calcolato sulla base di una percentuale del fatturato mondiale totale annuo dell’esercizio precedente dell’impresa interessata.
Tuttavia, la determinazione di tale importo massimo deve essere distinta dal calcolo stesso dell’importo di una sanzione pecuniaria che l’autorità di controllo competente deve infliggere per la o le violazioni specifiche del GDPR che tale sanzione pecuniaria punisce.
Pertanto, in forza dell’articolo 83, paragrafo 1, del GDPR, ciascuna autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte in forza di tale articolo 83 per le violazioni del GDPR di cui ai paragrafi da 4 a 6 di quest’ultimo siano, in ciascun caso, effettive, proporzionate e dissuasive.
Oltre al rispetto di queste tre condizioni, il paragrafo 2 di tale articolo 83 esige che l’autorità di controllo competente, al fine di decidere se infliggere una sanzione amministrativa pecuniaria e fissare l’importo di quest’ultima, tenga debitamente conto, in ciascun caso di specie, di un certo numero di elementi.
Tra tali elementi figurano, conformemente a quest’ultima disposizione, in particolare la natura, la gravità e la durata della violazione, il numero di interessati lesi dal danno e il livello del danno da essi subito, il carattere doloso o colposo della violazione, le misure adottate dal titolare del trattamento dei dati personali o dal responsabile di tale trattamento per attenuare il danno subito, il grado di responsabilità di tale titolare o di tale responsabile e le categorie di dati personali interessate dalla violazione.
Detti elementi caratterizzano o il comportamento di detto titolare o di detto responsabile, accusato di violazioni di talune disposizioni del GDPR, oppure le violazioni stesse. Essi servono quindi a garantire che ciascuna di tali violazioni sia valutata sulla base di tutte le circostanze individuali pertinenti e che gli obiettivi perseguiti dal sistema sanzionatorio previsto dal GDPR siano raggiunti.
Sebbene tali elementi non facciano riferimento alla nozione di impresa ai sensi degli articoli 101 e 102 TFUE, la Corte ha già dichiarato che solo una sanzione pecuniaria che tiene conto non solo di tutti gli elementi che caratterizzano in tal modo le violazioni constatate del GDPR, ma anche, se del caso, della capacità economica reale o materiale del suo destinatario può soddisfare le tre condizioni enunciate all’articolo 83, paragrafo 1, del GDPR, vale a dire essere allo stesso tempo effettiva, proporzionata e dissuasiva. Orbene, per valutare tali condizioni, occorre tener conto della questione se tale destinatario faccia parte di un’impresa, ai sensi degli articoli 101 e 102 TFUE.
L’interpretazione dell’articolo 83 del GDPR risultante dai punti da 25 a 29 della presente sentenza è parimenti applicabile quando le violazioni constatate del GDPR non sono punite con una sanzione amministrativa pecuniaria, bensì con una sanzione pecuniaria inflitta dai giudici nazionali competenti a titolo di sanzione penale.
Come indicato al considerando 151 del GDPR, alcuni ordinamenti giuridici nazionali, tra cui quello del Regno di Danimarca, non consentono l’irrogazione di sanzioni amministrative pecuniarie come previsto dal GDPR.
Per disciplinare tale fattispecie, l’articolo 83, paragrafo 9, del GDPR dispone che, se l’ordinamento giuridico di uno Stato membro non prevede sanzioni amministrative pecuniarie, tale articolo 83 può essere applicato in maniera tale che, come nel caso di specie, l’azione sanzionatoria sia avviata dall’autorità di controllo competente e la sanzione pecuniaria sia irrogata dalle competenti autorità giurisdizionali nazionali.
Viene inoltre precisato, a tale articolo 83, paragrafo 9, così come al considerando 151 di tale regolamento, che è necessario che i mezzi di ricorso in questione siano effettivi e abbiano effetto equivalente alle sanzioni amministrative pecuniarie irrogate dalle autorità di controllo e che, in ogni caso, le sanzioni pecuniarie irrogate siano effettive, proporzionate e dissuasive.
Ciò premesso, il fatto che la sanzione pecuniaria sia inflitta da un giudice penale nell’ambito di un procedimento penale implica che tale giudice debba rispettare in qualsiasi momento le norme applicabili in materia penale, tra cui, più in particolare, i diritti processuali di cui beneficia l’imputato e il principio di proporzionalità della pena, come garantiti dalla Carta dei diritti fondamentali dell’Unione europea.
A tale proposito, come indicato dall’avvocata generale al paragrafo 74 delle sue conclusioni, l’articolo 83 del GDPR esige che le autorità di controllo competenti debbano, senza eccezioni, assicurare il rispetto del principio di proporzionalità nel calcolo dell’importo concreto della sanzione pecuniaria inflitta, per raggiungere un giusto equilibrio tra le esigenze dell’interesse generale ai fini della protezione dei dati personali e quelle della tutela dei diritti del titolare del trattamento di tali dati, del responsabile di tale trattamento o dell’impresa di cui essi fanno parte. Ne consegue che un’applicazione della nozione di «impresa», ai sensi degli articoli 101 e 102 TFUE, nell’ambito dell’attuazione dell’articolo 83, paragrafi da 4 a 6, del GDPR non sembra scontrarsi con ostacoli di principio quando le violazioni del GDPR sono sanzionate non già con sanzioni pecuniarie amministrative, bensì con sanzioni pecuniarie inflitte da giudici penali.
Alla luce delle considerazioni che precedono, occorre rispondere alle questioni sollevate dichiarando che l’articolo 83, paragrafi da 4 a 6, del GDPR, letto alla luce del considerando 150 di tale regolamento, deve essere interpretato nel senso che il termine «impresa», di cui a tali disposizioni, corrisponde alla nozione di «impresa», ai sensi degli articoli 101 e 102 TFUE, cosicché, quando viene inflitta una sanzione pecuniaria per violazione del GDPR a un titolare del trattamento di dati personali, che è o fa parte di un’impresa, l’importo massimo della sanzione pecuniaria è determinato sulla base di una percentuale del fatturato mondiale totale annuo dell’esercizio precedente dell’impresa. La nozione di «impresa» deve altresì essere presa in considerazione per valutare la capacità economica reale o materiale del destinatario della sanzione pecuniaria e verificare così se la sanzione pecuniaria sia al contempo effettiva, proporzionata e dissuasiva.
La decisione della CGUE.
L’articolo 83, paragrafi da 4 a 6, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), letto alla luce del considerando 150 di tale regolamento, deve essere interpretato nel senso che il termine «impresa», di cui a tali disposizioni, corrisponde alla nozione di «impresa», ai sensi degli articoli 101 e 102 TFUE, cosicché, quando viene inflitta una sanzione pecuniaria per violazione del regolamento 2016/679 a un titolare del trattamento di dati personali, che è o fa parte di un’impresa, l’importo massimo della sanzione pecuniaria è determinato sulla base di una percentuale del fatturato mondiale totale annuo dell’esercizio precedente dell’impresa. La nozione di «impresa» deve altresì essere presa in considerazione per valutare la capacità economica reale o materiale del destinatario della sanzione pecuniaria e verificare così se la sanzione pecuniaria sia al contempo effettiva, proporzionata e dissuasiva.
[1] Articolo 101 (TFUE) – Procedure in materia di antitrust
L’indagine relativa ad accordi anticoncorrenziali (ad esempio cartelli) deve partire da:
- una denuncia (ad esempio da un concorrente);
- un’iniziativa dell’autorità garante della concorrenza (autorità nazionale o Commissione europea);
- una domanda nell’ambito di un programma di clemenza (in cui un partecipante ad un cartello può evitare un’ammenda o può vedersela ridotta qualora fornisca informazioni sul cartello).
Se la Commissione europea avvia un’indagine, ha poteri di ampia portata. Questi includono il diritto di richiedere informazioni alle imprese, ma anche di entrare nei loro locali, sequestrare i loro registri e interrogare i suoi rappresentanti.
Se, sulla base delle sue indagini iniziali, la Commissione decide di portare avanti un’indagine approfondita, si stabilisce una comunicazione degli addebiti che invia alle aziende in questione.
Le imprese indagate possono accedere alla documentazione della Commissione e rispondere alla comunicazione degli addebiti. Possono anche richiedere un’audizione. Se, dopo questa fase, la Commissione è ancora convinta che vi sia un’infrazione, può essere emessa una decisione di infrazione che può comprendere l’imposizione di ammende alle parti.
La Commissione può decidere di adottare invece una decisione concernente gli impegni dove non è comminata alcuna ammenda. In tal caso le parti si impegnano ad affrontare i problemi di concorrenza sollevati dalla Commissione, normalmente per un determinato periodo. In caso di violazione di questo impegno, possono essere multate.
Le parti possono impugnare le decisioni della Commissione dinnanzi al Tribunale.
Ai sensi della direttiva 2014/104/UE, le vittime di cartelli o di violazioni della concorrenza possono essere risarcite per i danni.
[2] Articolo 102 (TFUE) – Procedure per abuso di posizione dominante
Un’autorità nazionale garante della concorrenza o la Commissione può avviare indagini di propria iniziativa o in seguito ad una denuncia.
Il primo passo fondamentale in questi casi è quello di valutare se l’impresa in questione è «dominante». Si tratta di definire il suo mercato sia in termini di prodotti che dell’area geografica in cui sono venduti. Come regola generale, se la quota di mercato è inferiore al 40 %, è improbabile che possa essere dominante.
Sono presi in considerazione anche altri fattori, ad esempio se esistono barriere che impediscono a nuovi operatori di entrare nel mercato, o il grado in cui l’impresa indagata è coinvolta in vari livelli della catena di fornitura (nota come «integrazione verticale»).
Il passo successivo è quello di scoprire se questa posizione dominante è stata abusata a causa di pratiche di prezzi predatori (prezzi che minano i concorrenti), insistendo sul fatto che l’impresa è il fornitore esclusivo ecc.
Le autorità garanti della concorrenza hanno gli stessi poteri di indagine, come per le procedure di cui all’articolo 101. Aspetti come i diritti di difendersi, il sistema di comunicazione degli addebiti, le decisioni concernenti gli impegni, le ammende e i risarcimenti sono identici.
In ultimo, una rete europea della concorrenza composta dalle autorità nazionali garanti della concorrenza e dalla Commissione permette a tutti di scambiarsi informazioni, comprese le informazioni riservate, per aiutare le parti a far rispettare le violazioni delle regole di concorrenza.
