Con Sentenza del 22/09/2023, n. 27189, la Corte di Cassazione ha affermato che quantificare la sanzione amministrativa pecuniaria in base alla percentuale media applicata in casi analoghi integra una violazione del GDPR il quale, invece, impone di quantificare l’importo della sanzione in base alle circostanze del caso specifico e nel rispetto del limite massimo stabilito dal Regolamento.
Il caso
Nel 2021 il Garante italiano aveva inflitto a una società la sanzione di € 2.600.000 dopo aver accertato la violazione di più norme del GDPR. Detto importo era stato quantificato dal Garante in base all’art. 83 del GDPR che, per le violazioni commesse dalla società, avrebbe consentito di infliggere sanzioni pecuniarie “fino a euro 20.000.000, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore”.
La società sanzionata ha impugnato il provvedimento dinanzi al Tribunale di Milano, sostenendone l’illegittimità per l’eccessività della sanzione irrogata. Al riguardo, la ricorrente sosteneva che l’importo della sanzione fosse pari al 7,29% del suo fatturato annuale mondiale e che, quindi, fosse decisamente superiore al parametro del 4% menzionato dall’art. 83 del GDPR. Sosteneva altresì che detto importo fosse anche superiore alla percentuale media (0,0019%) applicata dal medesimo Garante ad altri soggetti sanzionati.
Il Tribunale di Milano, accogliendo entrambi gli argomenti difensivi della ricorrente, aveva annullato il provvedimento del Garante affermando che l’importo della sanzione fosse eccessivo.
Contro la sentenza del giudice di merito il Garante ha proposto ricorso dinanzi alla Cassazione sostenendo, tra l’altro, che la sanzione irrogata non fosse affatto eccessiva, dato che era stata quantificata nel rispetto del limite massimo fissato dal GDPR, pari a € 20.000.000.
Sanzioni Privacy: i principi enunciati dalla Cassazione
La Corte ha accolto il ricorso del Garante e cassato la sentenza del Tribunale di Milano.
Per quanto riguarda il riferimento alle percentuali medie applicate in casi analoghi, la Corte ha chiarito che la regola imposta dal GDPR è quella di quantificare la singola sanzione in base allo specifico caso concreto, al fine di garantire che, in relazione a tale caso, la sanzione sia effettiva, proporzionata e dissuasiva.
“Ne segue che integra una violazione del Regolamento l’affermazione del tribunale secondo cui la sanzione è illegittima perché asseritamente superiore alla percentuale media applicata in altri casi (peraltro neppure specificati). Al più una simile affermazione può risolversi nella segnalazione di un indice di ipotetica sproporzione, che però andrebbe sempre rapportato al “caso singolo”, e come tale implicherebbe un giudizio adeguatamente motivato in concreto”.
Rispetto ai massimi edittali stabiliti dal GDPR, la Corte ha affermato che il tenore letterale dell’art. 83, par. 5, lett. a) è chiaro nel prevedere che il limite riferito alla percentuale del fatturato annuo viene in rilievo solo se l’importo della sanzione stabilito dal Garante supera la cifra indicata dalla stessa norma (come si evince dalla locuzione finale della norma – “se superiore” – riferita alla sanzione).
Quindi, la percentuale del 4% del fatturato mondiale annuo è un riferimento proporzionale che, per le imprese, opera come ulteriore limite edittale della sanzione quando questa è superiore all’importo ordinario (€ 20.000.000), ma se la sanzione quantificata dal Garante è inferiore a tale importo, il limite del fatturato non si applica.
“Ne segue che il riferimento alla sanzione proporzionale non è posto dal GDPR in funzione mitigatoria del limite edittale stabilito con la sanzione variabile ordinaria, ma rappresenta un limite edittale ulteriore e distinto, al quale occorre riferirsi solo se superiore (esso in quanto tale) al massimo della sanzione suddetta”
Ilaria Feriti