Sentenza CGUE: nuovi scenari sulla responsabilità diretta delle aziende per violazioni della normativa privacy

La recente sentenza della Corte di Giustizia dell’Unione Europea (Cgue) del 5 dicembre 2023 ha posto una pietra miliare nella gestione delle violazioni della privacy nelle imprese, stabilendo che la responsabilità ricade direttamente su organizzazioni e aziende anche quando non è possibile identificare la singola persona responsabile della violazione. Questa decisione ha significative implicazioni per le imprese e gli enti pubblici, che dovranno tenere sempre più in considerazione il concetto di “colpa di organizzazione”. Per evitare sanzioni occorrerà quindi provare l’esistenza di un assetto organizzativo e la presenza di effettivi standard predisposti alla prevenzione della commissione delle violazioni in tema di protezione dei dati personali.

La sentenza della Cgue ha origine da una controversia sorta in Germania ed ha visto coinvolta una holding operante nel settore immobiliare con partecipazioni in numerose società proprietarie e locatrici di appartamenti e negozi. Le sanzioni, inflitte dal garante della privacy tedesco, sono state applicate a causa di irregolarità nel trattamento dei dati dei locatari. Alcune ipotesi di violazioni contestate hanno, ad esempio, riguardato l’eccessiva conservazione dei dati degli interessati coinvolti. La holding ha impugnato il provvedimento dell’autorità, sostenendo il principio che un illecito amministrativo può essere contestato all’azienda solo se è stata effettivamente identificata la persona fisica responsabile. La Corte, esprimendosi sul ricorso, ha respinto tale assunto affermando che una sanzione amministrativa pecuniaria irrogata ai sensi dell’Art. 83 GDPR può essere inflitta ad una persona giuridica anche senza sapere chi sia la persona fisica concretamente responsabile. Tuttavia, i giudici hanno specificato che l’ammenda può essere applicata solo se la violazione è stata commessa con dolo o colpa, escludendo quindi la responsabilità oggettiva.

Anche nel nostro paese, la Corte di cassazione ha espresso opinioni simili sottolineando che la responsabilità dell’ente è configurata come una “colpa di organizzazione” e non oggettiva. Le imprese e gli enti pubblici devono pertanto dimostrare di aver adottato misure organizzative e gestionali idonee e necessarie per prevenire violazioni relative al trattamento dei dati personali. Questo approccio, tuttavia, non sembra essere privo di criticità; si potrebbe configurare infatti lo scenario nel quale l’ente sia in grado di dimostrare da un lato la condotta autonoma del dipendente e dall’altro l’effettiva adozione di misure potenzialmente idonee, solo sulla carta, a prevenire tali violazioni.  Si creerebbe così un potenziale, ed a detta di scrive, pericoloso, vuoto di attribuzione in merito alla responsabilità per le violazioni della privacy che cadrebbe esclusivamente sulla persona fisica materiale autrice della violazione.

Fondamentale in questa ottica dovrà essere quindi il lavoro dei Garanti nazionali, che in sede di ispezione dovranno valutare attentamente che le organizzazioni abbiano effettivamente adottato un rigoroso apparato documentale e tecnico, predisponendo in maniera chiara e trasparente le nomine dei dipendenti autorizzati al trattamento dei dati e i relativi compiti. Credenziali di accesso sicure, compiti ben definiti e procedure di controllo sono in ogni caso essenziali per prevenire abusi da parte dei dipendenti.

La posizione della Cgue e della Corte di Cassazione indicano chiaramente che la responsabilità delle organizzazioni può essere evitata soltanto dimostrando l’assenza di dolo o colpa e l’eventuale condotta autonoma ed erronea del solo dipendente, a patto che le stesse abbiano adottato le adeguate misure preventive.

In conclusione, la sentenza della Corte di Giustizia dell’Unione Europea del 5 dicembre 2023 ha tracciato un nuovo corso nella gestione delle violazioni della privacy, attribuendo direttamente alle organizzazioni la responsabilità anche in assenza dell’identificazione della singola persona coinvolta, a condizione che la violazione sia stata commessa con dolo o colpa. Questo fondamentale cambiamento richiede alle imprese e agli enti pubblici di adottare misure più rigorose, ponendo l’accento sul concetto di “colpa di organizzazione”. Per proteggersi da potenziali violazioni in tema privacy, quindi, le organizzazioni devono implementare un robusto sistema documentale e tecnico, delineando chiaramente le nomine dei dipendenti autorizzati al trattamento dei dati e le relative responsabilità.

Fonti: Federprivacy