In materia di protezione dei dati personali, le autorità nazionali di controllo possono infliggere una sanzione pecuniaria amministrativa a uno o più titolari del trattamento per violazione del GDPR solo quando la violazione sia stata commessa in modo doloso o colposo.
È quanto precisa la Corte di Giustizia con la sentenza 5 dicembre 2023 nella causa C-807/21.
Nella specie, un giudice lituano e un giudice tedesco avevano chiesto alla Corte di giustizia di interpretare il GDPR relativamente a due casi. Il primo, lituano, riguarda il Centro nazionale di Sanità pubblica del Ministero della Sanità, multato per 12.000 euro per aver creato, con l'aiuto di un'impresa privata, un'applicazione mobile per la gestione dei dati relativi al Covid-19. Il secondo, tedesco, vedeva la società Deutsche Wohnen contestare una sanzione di oltre 14 milioni di euro, inflitta per aver conservato i dati personali dei suoi inquilini oltre il tempo necessario.
La Corte ha stabilito che le sanzioni amministrative possono essere applicate solo se la violazione è stata commessa in modo illecito, cioè dolosamente o colposamente. Ciò si verifica una volta che il titolare del trattamento non poteva ignorare l’illiceità del suo comportamento, a prescindere dal fatto che abbia avuto, o meno, cognizione dell’infrazione.
Quando il titolare del trattamento è una persona giuridica, non è necessario che la violazione sia stata commessa da un suo organo amministrativo o che quest’organo ne abbia avuto conoscenza. La persona giuridica è omunque responsabile sia delle violazioni commesse dai suoi rappresentanti, direttori o amministratori, sia di quelle commesse da chiunque agisca nel quadro della sua attività commerciale o per suo conto, senza la necessità di identificare una specifica persona fisica responsabile.
Significativamente, la Corte ha anche stabilito che le sanzioni possono essere imposte anche per azioni di subappaltatori, se queste possono essere attribuite al titolare del trattamento.
Per quanto concerne la contitolarità di due o più enti, la Corte precisa che quest’ultima discende dal mero fatto che detti enti abbiano partecipato alla determinazione delle finalità e dei mezzi del trattamento.
Infine, per il calcolo delle sanzioni pecuniarie, quando il destinatario è o fa parte di un'impresa, deve essere considerata la nozione di "impresa" del diritto della concorrenza. L'importo massimo della sanzione è calcolato su una percentuale del fatturato annuo mondiale globale dell'anno precedente dell'impresa interessata.
L’art. 4, punto 7, del GDPR deve essere interpretato nel senso che:
L’art. 4, punto 7, e l’art. 26, paragrafo 1, del GDPR devono essere interpretati nel senso che la qualificazione di due enti come contitolari del trattamento non presuppone né l’esistenza di un accordo tra di essi sulla determinazione delle finalità e dei mezzi del trattamento dei dati personali di cui trattasi né l’esistenza di un accordo che fissi le condizioni relative alla contitolarità del trattamento.
L’art. 83 del GDPR deve essere interpretato nel senso che:
SENTENZA DELLA CORTE (Grande Sezione)
5 dicembre 2023
«Rinvio pregiudiziale – Protezione dei dati personali – Regolamento (UE) 2016/679 – Articolo 4, punti 2 e 7 – Nozioni di “trattamento” e di “titolare del trattamento” – Sviluppo di un’applicazione informatica mobile – Articolo 26 – Contitolarità del trattamento – Articolo 83 – Irrogazione di sanzioni amministrative pecuniarie – Presupposti – Necessità del carattere doloso o colposo della violazione – Responsabilità del titolare del trattamento per il trattamento di dati personali effettuato dal responsabile del trattamento»
Nella causa C-683/21,
avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Vilniaus apygardos administracinis teismas (Tribunale amministrativo regionale di Vilnius, Lituania), con decisione del 22 ottobre 2021, pervenuta in cancelleria il 12 novembre 2021, nel procedimento
Nacionalinis visuomenes sveikatos centras prie Sveikatos apsaugos ministerijos
contro
Valstybine duomenu apsaugos inspekcija,
con l’intervento di:
UAB «IT sprendimai sekmei»,
Lietuvos Respublikos sveikatos apsaugos ministerija,
Sentenza
1 La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 4, punti 2 e 7, dell’articolo 26, paragrafo 1, e dell’articolo 83, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).
2 Tale domanda è stata presentata nell’ambito di una controversia tra il Nacionalinis visuomenes sveikatos centras prie Sveikatos apsaugos ministerijos (Centro nazionale per la sanità pubblica presso il Ministero della Sanità, Lituania; in prosieguo: il «CNSP») e la Valstybine duomenu apsaugos inspekcija (Ispettorato nazionale per la protezione dei dati, Lituania; in prosieguo: l’«INPD») in merito a una decisione con la quale quest’ultima ha inflitto al CNSP una sanzione amministrativa pecuniaria in applicazione dell’articolo 83 del RGPD per violazione degli articoli 5, 13, 24, 32 e 35 di tale regolamento.
Contesto normativo
Diritto dell’Unione
3 I considerando 9, 10, 11, 13, 26, 74, 79, 129 e 148 di tale regolamento così recitano:
«(9) [...] La compresenza di diversi livelli di protezione dei diritti e delle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, con riguardo al trattamento di tali dati negli Stati membri può ostacolare la libera circolazione dei dati personali all’interno dell’Unione [europea]. Tali differenze possono pertanto costituire un freno all’esercizio delle attività economiche su scala dell’Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell’Unione. (...)
(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. (...)
(11) Un’efficace protezione dei dati personali in tutta l’Unione presuppone il rafforzamento e la disciplina dettagliata dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati personali, nonché poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali e sanzioni equivalenti per le violazioni negli Stati membri.
(...)
(13) Per assicurare un livello coerente di protezione delle persone fisiche in tutta l’Unione e prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno, è necessario un regolamento che garantisca certezza del diritto e trasparenza agli operatori economici, comprese le micro, piccole e medie imprese, offra alle persone fisiche in tutti gli Stati membri il medesimo livello di diritti azionabili e di obblighi e responsabilità dei titolari del trattamento e dei responsabili del trattamento e assicuri un monitoraggio coerente del trattamento dei dati personali, sanzioni equivalenti in tutti gli Stati membri e una cooperazione efficace tra le autorità di controllo dei diversi Stati membri. (...)
(...)
(26) È auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile. I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. (...) I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca.
(...)
(74) È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.
(...)
(79) La protezione dei diritti e delle libertà degli interessati così come la responsabilità generale dei titolari del trattamento e dei responsabili del trattamento, (...) esigono una chiara ripartizione delle responsabilità ai sensi del presente regolamento, compresi i casi in cui un titolare del trattamento stabilisca le finalità e i mezzi del trattamento congiuntamente con altri titolari del trattamento o quando l’operazione di trattamento viene eseguita per conto del titolare del trattamento.
(...)
(129) Al fine di garantire un monitoraggio e un’applicazione coerenti del presente regolamento in tutta l’Unione, le autorità di controllo dovrebbero avere in ciascuno Stato membro gli stessi compiti e poteri effettivi, fra cui poteri di indagine, poteri correttivi e sanzionatori (...) È opportuno che i poteri delle autorità di controllo siano esercitati nel rispetto di garanzie procedurali adeguate previste dal diritto dell’Unione e degli Stati membri, in modo imparziale ed equo ed entro un termine ragionevole. In particolare ogni misura dovrebbe essere appropriata, necessaria e proporzionata al fine di assicurare la conformità al presente regolamento, tenuto conto delle circostanze di ciascun singolo caso, rispettare il diritto di ogni persona di essere ascoltata prima che nei suoi confronti sia adottato un provvedimento individuale che le rechi pregiudizio ed evitare costi superflui ed eccessivi disagi per le persone interessate. I poteri di indagine per quanto riguarda l’accesso ai locali dovrebbero essere esercitati nel rispetto dei requisiti specifici previsti dal diritto processuale degli Stati membri, quale l’obbligo di ottenere un’autorizzazione giudiziaria preliminare. Ogni misura giuridicamente vincolante dell’autorità di controllo dovrebbe avere forma scritta, essere chiara e univoca, riportare l’autorità di controllo che ha adottato la misura e la relativa data di adozione, recare la firma del responsabile o di un membro dell’autorità di controllo da lui autorizzata, precisare i motivi della misura e fare riferimento al diritto a un ricorso effettivo. Ciò non dovrebbe precludere requisiti supplementari ai sensi del diritto processuale degli Stati membri. L’adozione di una decisione giuridicamente vincolante implica che essa può essere soggetta a controllo giurisdizionale nello Stato membro dell’autorità di controllo che ha adottato la decisione.
(...)
(148) Per rafforzare il rispetto delle norme del presente regolamento, dovrebbero essere imposte sanzioni, comprese sanzioni amministrative pecuniarie per violazione del regolamento, in aggiunta o in sostituzione di misure appropriate imposte dall’autorità di controllo ai sensi del presente regolamento. In caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica, potrebbe essere rivolto un ammonimento anziché imposta una sanzione pecuniaria. Si dovrebbe prestare tuttavia debita attenzione alla natura, alla gravità e alla durata della violazione, al carattere doloso della violazione e alle misure adottate per attenuare il danno subito, al grado di responsabilità o eventuali precedenti violazioni pertinenti, alla maniera in cui l’autorità di controllo ha preso conoscenza della violazione, al rispetto dei provvedimenti disposti nei confronti del titolare del trattamento o del responsabile del trattamento, all’adesione a un codice di condotta e eventuali altri fattori aggravanti o attenuanti. L’imposizione di sanzioni, comprese sanzioni amministrative pecuniarie dovrebbe essere soggetta a garanzie procedurali appropriate in conformità dei principi generali del diritto dell’Unione e della [Carta dei diritti fondamentali dell’Unione europea], inclusi l’effettiva tutela giurisdizionale e il giusto processo».
4 A tenore dell’articolo 4 del medesimo regolamento:
«Ai fini del presente regolamento s’intende per:
1) “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
2) “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
(...)
5) “pseudonimizzazione”: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;
(...)
7) “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
8) “responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
(...)».
5 L’articolo 26 di detto regolamento, intitolato «Contitolari del trattamento», al paragrafo 1 enuncia quanto segue:
«Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati».
6 L’articolo 28 dello stesso regolamento, intitolato «Responsabile del trattamento», al paragrafo 10 è così formulato:
«Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione».
7 L’articolo 58 del RGPD, dal titolo «Poteri», enuncia, al paragrafo 2, quanto segue:
«Ogni autorità di controllo ha tutti i poteri correttivi seguenti:
a) rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento;
b) rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente regolamento;
(...)
d) ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine;
(...)
f) imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;
(...)
i) infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso;
(...)».
8 L’articolo 83 di tale regolamento, intitolato «Condizioni generali per infliggere sanzioni amministrative pecuniarie», prevede quanto segue:
«1. Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive.
2. Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all’articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:
a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o [l]a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
b) il carattere doloso o colposo della violazione;
c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
f) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
g) le categorie di dati personali interessate dalla violazione;
h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
i) qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
j) l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42; e
k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.
3. Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave.
(4) In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:
a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;
(...)
(5) In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:
a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
b) i diritti degli interessati a norma degli articoli da 12 a 22;
(...)
d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
(...)
(6) In conformità del paragrafo 2 del presente articolo, l’inosservanza di un ordine da parte dell’autorità di controllo di cui all’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
7. Fatti salvi i poteri correttivi delle autorità di controllo a norma dell’articolo 58, paragrafo 2, ogni Stato membro può prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici istituiti in tale Stato membro.
8. L’esercizio da parte dell’autorità di controllo dei poteri attribuitile dal presente articolo è soggetto a garanzie procedurali adeguate in conformità del diritto dell’Unione e degli Stati membri, inclusi il ricorso giurisdizionale effettivo e il giusto processo.
(...)».
9 L’articolo 84 del regolamento di cui trattasi al paragrafo 1 così dispone:
«Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive».
Diritto lituano
10 L’articolo 29, paragrafo 3, del Viestju pirkimu istatymas (legge sugli appalti pubblici) menziona talune circostanze in cui l’amministrazione aggiudicatrice ha o il diritto, o l’obbligo, di revocare le procedure di gara d’appalto o di concorso avviate di propria iniziativa e in qualsiasi momento prima della conclusione dell’appalto pubblico (o del contratto preliminare) o dell’individuazione del vincitore del concorso.
11 L’articolo 72, paragrafo 2, della legge relativa agli appalti pubblici prevede le fasi dei negoziati che l’amministrazione aggiudicatrice conduce nell’ambito di una procedura negoziata di appalto pubblico senza previa pubblicazione.
Procedimento principale e questioni pregiudiziali
12 Nel contesto della pandemia provocata dal virus della COVID-19, il Lietuvos Respublikos sveikatos apsaugos ministras (Ministro della Sanità della Repubblica di Lituania), con una prima decisione del 24 marzo 2020, ha incaricato il direttore del CNSP di organizzare l’acquisizione immediata di un sistema informatico ai fini della registrazione e del monitoraggio dei dati delle persone esposte a tale virus, a fini di monitoraggio epidemiologico.
13 Il 27 marzo 2020, una persona qualificatasi come rappresentante del CNSP (in prosieguo: «A.S.») comunicava alla società UAB «IT sprendimai sekmei» (in prosieguo: la «società ITSS») che detta società era stata selezionata dal CNSP per creare un’applicazione mobile a tal fine. A.S. ha successivamente inviato alla società ITSS messaggi di posta elettronica riguardanti diversi aspetti della creazione di tale applicazione con copia di tali messaggi inviata al direttore del CNSP.
14 Nel corso delle trattative tra la società ITSS e il CNSP, oltre a A.S., anche altri dipendenti del CNSP hanno inviato messaggi di posta elettronica a tale società in merito alla redazione delle domande poste nell’applicazione mobile di cui trattasi.
15 Al momento della creazione di tale applicazione mobile, è stata elaborata una politica di tutela della vita privata, in cui la società ITSS e il CNSP sono stati designati responsabili del trattamento.
16 L’applicazione mobile in questione, che menzionava la società ITSS e il CNSP, era disponibile, per essere scaricata, nel negozio online Google Play Store a partire dal 4 aprile 2020 e nel negozio online Apple App Store a partire dal 6 aprile 2020. Essa è stata operativa fino al 26 maggio 2020.
17 Tra il 4 aprile 2020 e il 26 maggio 2020, 3 802 persone si sono avvalse di tale applicazione e hanno fornito i dati che le riguardavano, richiesti da detta applicazione, quali il numero d’identità, le coordinate geografiche (latitudine e longitudine), il paese, la città, il comune, il codice postale, il nome della strada, il numero civico, il cognome, il nome, il codice personale, il numero di telefono e l’indirizzo.
18 Con una seconda decisione del 10 aprile 2020, il Ministro della Sanità della Repubblica di Lituania ha deciso di affidare al direttore del CNSP il compito di organizzare l’acquisizione dell’applicazione mobile in questione presso la società ITSS e, a tal fine, è stato previsto di ricorrere all’articolo 72, paragrafo 2, della legge relativa agli appalti pubblici. Tuttavia, non è stato aggiudicato a tale società nessun appalto pubblico avente ad oggetto l’acquisizione ufficiale di tale applicazione da parte del CNSP.
19 In effetti, il 15 maggio 2020, il CNSP ha chiesto a tale società di non menzionarlo in alcun modo nell’applicazione mobile di cui trattasi. Inoltre, con lettera del 4 giugno 2020, il CNSP ha comunicato a detta stessa società che, a causa del mancato finanziamento dell’acquisizione di tale applicazione, aveva posto fine, conformemente all’articolo 29, paragrafo 3, della legge relativa agli appalti pubblici, alla procedura relativa a tale acquisizione.
20 Nell’ambito di un’indagine relativa al trattamento dei dati personali avviata il 18 maggio 2020, l’INPD ha accertato che mediante l’applicazione mobile in questione erano stati raccolti dati personali. Inoltre, è stato constatato che gli utenti che avevano scelto tale applicazione come metodo di monitoraggio dell’isolamento reso obbligatorio a causa della pandemia di COVID-19 avevano risposto a domande che comportavano il trattamento di dati personali. Tali dati sarebbero stati forniti nelle risposte ai quesiti posti mediante detta applicazione e vertevano, in particolare, sullo stato di salute dell’interessato e sul rispetto, da parte di quest’ultimo, delle condizioni di isolamento.
21 Con decisione del 24 febbraio 2021, l’INPD ha inflitto al CNSP una sanzione amministrativa pecuniaria di EUR 12 000 in applicazione dell’articolo 83 del RGPD, in considerazione della violazione da parte del CNSP degli articoli 5, 13, 24, 32 e 35 di tale regolamento. Con tale decisione è stata inflitta anche alla società ITSS, in qualità di contitolare del trattamento, una sanzione amministrativa pecuniaria di EUR 3 000.
22 Il CNSP ha impugnato tale decisione dinanzi al Vilniaus apygardos administracinis teismas (Tribunale amministrativo regionale di Vilnius, Lituania), che è il giudice del rinvio, facendo valere che è la società ITSS a dover essere considerata il solo titolare del trattamento, ai sensi dell’articolo 4, punto 7, del RGPD. Dal canto suo, la società ITSS sostiene di aver agito in qualità di responsabile del trattamento, ai sensi dell’articolo 4, punto 8, del RGPD, su istruzione del CNSP, il quale, a suo avviso, è l’unico titolare del trattamento.
23 Il giudice del rinvio rileva che la società ITSS ha creato l’applicazione mobile di cui trattasi e che il CNSP l’ha consigliata sul contenuto delle questioni poste mediante tale applicazione. Tuttavia, non esisterebbe alcun contratto di appalto pubblico tra il CNSP e la società ITSS. Inoltre, il CNSP non avrebbe acconsentito alla messa a disposizione di tale applicazione mediante diversi negozi online, né l’avrebbe autorizzata.
24 Tale giudice precisa che la creazione dell’applicazione mobile in questione mirava ad attuare l’obiettivo assegnato dal CNSP, ossia la gestione della pandemia di COVID-19 mediante la creazione di uno strumento informatico, e che il trattamento dei dati personali era previsto a tal fine. Per quanto riguarda il ruolo della società ITSS, non sarebbe stato previsto che tale società perseguisse obiettivi diversi da quello di ricevere una remunerazione per il prodotto informatico creato.
25 Detto giudice osserva altresì che, durante l’indagine dell’INPD, è stato accertato che la società lituana Juvare Lithuania, amministratrice del sistema informatico di monitoraggio e di controllo delle malattie trasmissibili che presentano un rischio di propagazione, doveva ricevere le copie dei dati personali raccolti dall’applicazione mobile di cui trattasi. Inoltre, al fine di testare quest’ultima, sono stati utilizzati dati fittizi, ad eccezione dei numeri di telefono dei dipendenti di detta società.
26 Alla luce delle suddette considerazioni, il Vilniaus apygardos administracinis teismas (Tribunale amministrativo regionale, Vilnius) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se la nozione di “titolare del trattamento” di cui all’articolo 4, punto 7, del RGPD possa essere interpretata nel senso che deve essere considerato quale titolare del trattamento anche colui che intenda acquistare uno strumento di raccolta di dati (applicazione mobile) mediante appalto pubblico, malgrado il fatto che non sia stato concluso un contratto di appalto pubblico e che il prodotto creato (applicazione mobile), per l’acquisto del quale è stata utilizzata una procedura di appalto pubblico, non sia stato trasferito.
2) Se la nozione di “titolare del trattamento” di cui all’articolo 4, punto 7, del RGPD possa essere interpretata nel senso che deve essere considerata quale titolare del trattamento anche un’amministrazione aggiudicatrice che non ha acquistato il diritto di proprietà sul prodotto informatico creato e che non ne è venuta in possesso, qualora la versione definitiva dell’applicazione creata fornisca link o interfacce a tale ente pubblico e/o l’informativa sulla riservatezza, che non è stata ufficialmente approvata o riconosciuta dall’ente pubblico in questione, indichi quale titolare del trattamento tale medesimo ente pubblico.
3) Se la nozione di «titolare del trattamento» di cui all’articolo 4, punto 7, del RGPD possa essere interpretata nel senso che deve essere considerato quale titolare del trattamento anche colui che non ha effettivamente compiuto alcuna operazione di trattamento di dati, come definita all’articolo 4, punto 2, di tale regolamento, e/o che non ha dato un’autorizzazione o un consenso chiari al compimento di tali operazioni. Se il fatto che il prodotto informatico utilizzato per il trattamento dei dati personali sia stato creato conformemente all’incarico redatto dall’amministrazione aggiudicatrice sia rilevante per l’interpretazione della nozione di «titolare del trattamento».
4) Qualora la determinazione delle effettive operazioni di trattamento dei dati sia rilevante per l’interpretazione della nozione di “titolare del trattamento”, se la definizione di “trattamento” dei dati personali ai sensi dell’articolo 4, punto 2, del RGPD debba essere interpretata nel senso che ricomprende anche situazioni nelle quali sono state utilizzate copie di dati personali per testare i sistemi informatici nel corso del processo di acquisto di un’applicazione mobile.
5) Se la contitolarità del trattamento dei dati ai sensi dell’articolo 4, [punto] 7, e dell’articolo 26, paragrafo 1, del RGPD possa essere interpretata esclusivamente nel senso che implica azioni deliberatamente coordinate per quanto riguarda la determinazione della finalità e dei mezzi del trattamento dei dati, o se tale nozione possa essere interpretata anche nel senso che la contitolarità ricomprende anche situazioni in cui non vi è un chiaro “accordo” sulle finalità e i mezzi del trattamento dei dati e/o non vi è coordinamento fra le azioni dei soggetti. Se, ai fini dell’interpretazione della nozione di contitolarità del trattamento dei dati personali, siano giuridicamente rilevanti le circostanze relative alla fase della creazione dei mezzi per il trattamento dei dati personali (applicazione informatica) nella quale sono stati trattati i dati personali e alle finalità della creazione dell’applicazione. Se un “accordo” tra i contitolari possa essere inteso esclusivamente come una fissazione chiara e definita delle condizioni che disciplinano la contitolarità del trattamento dei dati.
6) Se la disposizione di cui all’articolo 83, paragrafo 1, del regolamento generale sulla protezione dei dati secondo cui “le sanzioni amministrative pecuniarie [devono essere] effettive, proporzionate e dissuasive”, debba essere interpretata nel senso che ricomprende anche i casi in cui il “titolare del trattamento” viene ritenuto responsabile quando, nel processo di creazione di un prodotto informatico, anche lo sviluppatore effettua azioni di trattamento dei dati personali, e se le azioni di trattamento dei dati personali improprie eseguite dal responsabile del trattamento comportino sempre e automaticamente una responsabilità giuridica in capo al titolare del trattamento Se tale disposizione debba essere interpretata nel senso che ricomprende anche i casi di responsabilità oggettiva del titolare del trattamento».
Sulle questioni pregiudiziali
Sulle questioni prima, seconda e terza
27 Con le sue questioni prima, seconda e terza, che è opportuno esaminare congiuntamente, il giudice del rinvio chiede, in sostanza, se l’articolo 4, punto 7, del RGPD debba essere interpretato nel senso che può essere considerato titolare del trattamento, ai sensi di tale disposizione, un ente che ha incaricato un’impresa di sviluppare un’applicazione informatica mobile, sebbene tale ente non abbia effettuato esso stesso operazioni di trattamento di dati personali, non abbia dato esplicitamente il suo assenso alla realizzazione delle operazioni concrete di un trattamento siffatto o alla messa a disposizione del pubblico di tale applicazione mobile e non abbia acquisito detta applicazione mobile.
28 L’articolo 4, punto 7, del RGPD definisce in modo ampio la nozione di «titolare del trattamento» inteso come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, «determina le finalità e i mezzi del trattamento» di dati personali.
29 L’obiettivo di tale ampia definizione è, conformemente a quello del RGPD, quello di assicurare un’efficace protezione dei diritti e delle libertà fondamentali delle persone fisiche, nonché, segnatamente, garantire un elevato livello di protezione del diritto di qualsiasi persona alla tutela dei dati personali che la riguardano (v., in tal senso, sentenze del 29 luglio 2019, Fashion ID, C-40/17, EU:C:2019:629, punto 66, e del 28 aprile 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, punto 73, e la giurisprudenza ivi citata).
30 La Corte ha già dichiarato che qualsiasi persona fisica o giuridica che influisca, per fini che le sono propri, sul trattamento di tali dati e partecipi pertanto alla determinazione delle finalità e dei mezzi di tale trattamento può essere considerata titolare di detto trattamento. A tal riguardo, non è necessario che le finalità e i mezzi del trattamento siano determinati mediante orientamenti scritti o istruzioni da parte del titolare del trattamento (v., in tal senso, sentenza del 10 luglio 2018, Jehovan todistajat, C-25/17, EU:C:2018:551, punti 67 e 68), né che quest’ultimo sia stato formalmente designato come tale.
31 Pertanto, per stabilire se un ente, come il CNSP, possa essere considerato titolare del trattamento ai sensi dell’articolo 4, punto 7, del RGPD, occorre esaminare se esso abbia effettivamente influito, a fini che gli sono propri, sulla determinazione delle finalità e dei mezzi di tale trattamento.
32 Nel caso di specie, fatte salve le verifiche che spetta al giudice del rinvio effettuare, dal fascicolo di cui dispone la Corte risulta che la creazione dell’applicazione mobile in questione era stata commissionata dal CNSP e mirava a realizzare l’obiettivo assegnato da quest’ultimo, ossia la gestione della pandemia di COVID-19 mediante uno strumento informatico ai fini della registrazione e del monitoraggio dei dati delle persone esposte al virus della COVID-19. Il CNSP aveva previsto a tal fine che fossero trattati i dati personali degli utenti dell’applicazione mobile in questione. Dalla decisione di rinvio risulta inoltre che i parametri di tale applicazione, quali le questioni poste e la loro formulazione, sono stati adattati alle esigenze del CNSP e che quest’ultimo ha svolto un ruolo attivo nella loro determinazione.
33 In tali circostanze, si deve ritenere, in linea di principio, che il CNSP abbia effettivamente partecipato alla determinazione delle finalità e dei mezzi del trattamento.
34 Per contro, il semplice fatto che il CNSP sia stato menzionato quale responsabile del trattamento nell’informativa per la protezione della vita privata dell’applicazione mobile di cui trattasi e che siano stati inclusi link verso tale entità in tale applicazione potrebbe essere considerato rilevante unicamente a condizione che sia dimostrato che il CNSP ha acconsentito, in modo espresso o implicito, a tale menzione o a tali link.
35 Inoltre, le circostanze menzionate dal giudice del rinvio nell’ambito delle considerazioni a sostegno delle sue prime tre questioni pregiudiziali, vale a dire che il CNSP non trattava direttamente alcun dato personale, che non esisteva alcun contratto tra il CNSP e la società ITSS, che il CNSP non ha acquistato l’applicazione mobile in questione o che la distribuzione di tale applicazione attraverso negozi online non è stata autorizzata dal CNSP, non ostano a che il CNSP sia qualificato come «titolare del trattamento» ai sensi dell’articolo 4, punto 7, del RGPD.
36 Da tale disposizione, letta alla luce del considerando 74 del RGPD, risulta, infatti, che un ente, qualora soddisfi la condizione posta da detto articolo 4, punto 7, è titolare non solo di qualsiasi trattamento di dati personali che esso stesso effettua, ma anche di quello effettuato per suo conto.
37 A tal riguardo, occorre tuttavia precisare che il CNSP non può essere considerato il titolare del trattamento dei dati personali risultanti dalla messa a disposizione del pubblico dell’applicazione mobile di cui trattasi se, prima di tale messa a disposizione, si è espressamente opposto a quest’ultima, circostanza che spetta al giudice del rinvio verificare. In un’ipotesi del genere, infatti, non si può ritenere che il trattamento in questione sia stato effettuato per conto del CNSP.
38 Alla luce dei motivi che precedono, occorre rispondere alle questioni prima, seconda e terza dichiarando che l’articolo 4, punto 7, del RGPD deve essere interpretato nel senso che può essere considerato titolare del trattamento, ai sensi di tale disposizione, un ente che ha incaricato un’impresa di sviluppare un’applicazione informatica mobile e che, in tale contesto, ha partecipato alla determinazione delle finalità e dei mezzi del trattamento dei dati personali effettuato mediante tale applicazione, anche se tale ente non ha proceduto, esso stesso, a operazioni di trattamento di tali dati, non ha dato esplicitamente il proprio consenso alla realizzazione delle operazioni concrete di un siffatto trattamento o alla messa a disposizione del pubblico di detta applicazione mobile e non ha acquisito quella stessa applicazione mobile, salvo che, prima di tale messa a disposizione nei confronti del pubblico, il suddetto ente si sia espressamente opposto ad essa e al trattamento dei dati personali che ne è derivato.
Sulla quinta questione
39 Con la quinta questione, che è opportuno esaminare in secondo luogo, il giudice del rinvio chiede, in sostanza, se l’articolo 4, punto 7, e l’articolo 26, paragrafo 1, del RGPD debbano essere interpretati nel senso che la qualificazione di due enti come contitolari del trattamento presuppone l’esistenza di un accordo tra tali enti sulla determinazione delle finalità e dei mezzi del trattamento dei dati personali in questione o l’esistenza di un accordo che stabilisca le condizioni relative alla contitolarità del trattamento.
40 Ai sensi dell’articolo 26, paragrafo 1, del RGPD, si hanno «contitolari del trattamento» allorché due o più titolari determinano congiuntamente le finalità e i mezzi del trattamento.
41 Come dichiarato dalla Corte, per poter essere considerata contitolare del trattamento, una persona fisica o giuridica deve quindi rispondere in modo indipendente alla definizione di «titolare del trattamento» di cui all’articolo 4, punto 7, del RGPD (v., in tal senso, sentenza del 29 luglio 2019, Fashion ID, C-40/17, EU:C:2019:629, punto 74).
42 Tuttavia, l’esistenza di una contitolarità non si traduce necessariamente in una responsabilità equivalente dei diversi operatori interessati da un trattamento di dati personali. Al contrario, tali soggetti possono essere coinvolti in fasi diverse di tale trattamento e a diversi livelli, di modo che il grado di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze rilevanti del caso di specie (sentenza del 5 giugno 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, punto 43). Inoltre, la responsabilità congiunta di vari soggetti per un medesimo trattamento non richiede che ciascuno di essi abbia accesso ai dati personali in questione (sentenza del 10 luglio 2018, Jehovan todistajat, C-25/17, EU:C:2018:551, punto 69 e giurisprudenza citata).
43 Come rilevato dall’avvocato generale al paragrafo 38 delle sue conclusioni, la partecipazione alla determinazione delle finalità e dei mezzi del trattamento può assumere forme diverse, potendo tale partecipazione risultare sia da una decisione comune adottata da due o più soggetti sia da decisioni convergenti di tali soggetti. Orbene, in quest’ultimo caso, dette decisioni devono integrarsi, di modo che ciascuna di esse abbia un effetto concreto sulla determinazione delle finalità e dei mezzi del trattamento.
44 Per contro, non si può esigere che esista un accordo formale tra tali titolari del trattamento quanto alle finalità e ai mezzi del trattamento.
45 È vero che, in forza dell’articolo 26, paragrafo 1, del RGPD, letto alla luce del considerando 79 di quest’ultimo, i contitolari del trattamento devono, mediante accordo tra loro, definire in modo trasparente i loro rispettivi obblighi al fine di garantire il rispetto dei requisiti di tale regolamento. Tuttavia, l’esistenza di un siffatto accordo costituisce non una condizione previa affinché due o più entità siano qualificate come contitolari del trattamento, bensì un obbligo che tale articolo 26, paragrafo 1, impone ai contitolari del trattamento, una volta qualificati come tali, al fine di garantire il rispetto dei requisiti del RGPD gravanti su di essi. Pertanto, tale qualificazione deriva dal solo fatto che molteplici enti hanno partecipato alla determinazione delle finalità e dei mezzi del trattamento.
46 Alla luce dei motivi che precedono, occorre rispondere alla quinta questione dichiarando che l’articolo 4, punto 7, e l’articolo 26, paragrafo 1, del RGPD devono essere interpretati nel senso che la qualificazione di due enti come contitolari del trattamento non presuppone né l’esistenza di un accordo tra di essi sulla determinazione delle finalità e dei mezzi del trattamento dei dati personali di cui trattasi né l’esistenza di un accordo che fissi le condizioni relative alla contitolarità del trattamento.
Sulla quarta questione
47 Con la sua quarta questione, il giudice del rinvio chiede, in sostanza, se l’articolo 4, punto 2, del RGPD debba essere interpretato nel senso che costituisce un «trattamento», ai sensi di tale disposizione, l’uso di dati personali a fini di test informatici di un’applicazione mobile.
48 Nel caso di specie, come risulta dal punto 25 della presente sentenza, la società lituana che gestiva il sistema informatico di monitoraggio e di controllo delle malattie trasmissibili che presentavano un rischio di propagazione doveva ricevere le copie dei dati personali raccolti dall’applicazione mobile di cui trattasi. A fini di test informatici, sono stati utilizzati dati fittizi, ad eccezione dei numeri di telefono dei dipendenti di detta società.
49 A tal riguardo, in primo luogo, l’articolo 4, punto 2, del RGPD definisce la nozione di «trattamento» come «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali». In un elenco non tassativo, introdotto dalla locuzione «come», tale disposizione menziona, quali esempi di trattamento, la raccolta, la messa a disposizione e l’uso di dati personali.
50 Dalla formulazione di tale disposizione, in particolare dall’espressione «qualsiasi operazione», risulta che il legislatore dell’Unione ha inteso attribuire alla nozione di «trattamento» una portata ampia [v., in tal senso, sentenza del 24 febbraio 2022, Valsts ienemumu dienests (Trattamento dei dati personali a fini fiscali), C-175/20, EU:C:2022:124, punto 35] e che le ragioni per le quali un’operazione o un insieme di operazioni sono effettuate non possono essere prese in considerazione per determinare se tale operazione o tale insieme di operazioni costituisca un «trattamento» ai sensi dell’articolo 4, punto 2, del RGPD.
51 Pertanto, la questione se dati personali siano utilizzati ai fini di test informatici o per un altro fine non incide sulla qualificazione dell’operazione di cui trattasi come «trattamento», ai sensi dell’articolo 4, punto 2, del RGPD.
52 In secondo luogo, occorre tuttavia precisare che solo un trattamento che riguarda «dati personali» costituisce un «trattamento», ai sensi dell’articolo 4, punto 2, del RGPD.
53 L’articolo 4, punto 1, del RGPD precisa che per «dato personale» si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile», ossia «persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale».
54 Orbene, la circostanza, cui fa riferimento il giudice del rinvio nella sua quarta questione, che si tratta di «copie di dati personali», in quanto tale, non è tale da negare a tali copie la qualificazione di dati personali, ai sensi dell’articolo 4, punto 1, del RGPD, sempre che siffatte copie contengano effettivamente informazioni riferentisi a una persona fisica identificata o identificabile.
55 Occorre tuttavia constatare che dati fittizi, riferendosi non a una persona fisica identificata o identificabile, bensì a una persona che, in realtà, non esiste, non costituiscono dati personali, ai sensi dell’articolo 4, punto 1, del RGPD.
56 Lo stesso vale per quanto riguarda dati utilizzati a fini di test informatici che sono anonimi o sono resi anonimi.
57 Infatti, dal considerando 26 del RGPD nonché dalla definizione stessa della nozione di «dato personale», fornita dall’articolo 4, punto 1, di tale regolamento, risulta che non rientrano in tale nozione le «informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile», né i «dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato».
58 Per contro, dall’articolo 4, punto 5, del RGPD, in combinato disposto con tale considerando 26 di tale regolamento, risulta che i dati personali che sono stati soltanto oggetto di pseudonimizzazione e che potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di informazioni supplementari devono essere considerati informazioni su una persona fisica identificabile, ai quali si applicano i principi relativi alla protezione dei dati.
59 Alla luce dei motivi che precedono, occorre rispondere alla quarta questione dichiarando che l’articolo 4, punto 2, del RGPD deve essere interpretato nel senso che costituisce un «trattamento», ai sensi di tale disposizione, l’uso di dati personali a fini di test informatici di un’applicazione mobile, salvo che tali dati siano stati resi anonimi in modo da impedire o da non consentire più l’identificazione dell’interessato o che si tratti di dati fittizi che non si riferiscono a una persona fisica esistente.
Sulla sesta questione
60 Con la sua sesta questione, il giudice del rinvio chiede, in sostanza, se l’articolo 83 del RGPD debba essere interpretato nel senso che, da un lato, una sanzione amministrativa pecuniaria può essere inflitta in applicazione di tale disposizione unicamente nel caso in cui sia accertato che il titolare del trattamento ha commesso, con dolo o colpa, una violazione di cui ai paragrafi da 4 a 6 di tale articolo e, dall’altro, siffatta sanzione pecuniaria può essere inflitta a un titolare del trattamento per quanto riguarda le operazioni di trattamento effettuate da un responsabile del trattamento per conto del titolare dello stesso.
61 Per quanto riguarda, in primo luogo, la questione se una sanzione amministrativa pecuniaria possa essere inflitta in applicazione dell’articolo 83 del RGPD solo nel caso in cui sia accertato che il titolare del trattamento o il responsabile del trattamento ha commesso, con dolo o colpa, una violazione di cui ai paragrafi da 4 a 6 di tale articolo, dal paragrafo 1 di detto articolo risulta che tali sanzioni devono essere effettive, proporzionate e dissuasive. Per contro, l’articolo 83 del RGPD non precisa espressamente che una violazione siffatta possa essere sanzionata con una sanzione del genere solo se essa sia stata commessa con dolo o, quanto meno, con colpa.
62 Il governo lituano e il Consiglio dell’Unione europea da ciò deducono che il legislatore dell’Unione ha inteso lasciare agli Stati membri un certo margine di discrezionalità nell’attuazione dell’articolo 83 del RGPD, consentendo loro di prevedere l’irrogazione di sanzioni amministrative pecuniarie in applicazione di tale disposizione, se del caso, senza che sia accertato che la violazione del RGPD oggetto di tale sanzione sia stata commessa con dolo o colpa.
63 Siffatta interpretazione dell’articolo 83 del RGPD non può essere accolta.
64 A tal riguardo, occorre ricordare che, in forza dell’articolo 288 TFUE, le disposizioni dei regolamenti producono, in generale, un effetto immediato negli ordinamenti giuridici nazionali, senza che le autorità nazionali abbiano bisogno di adottare misure di applicazione. Nondimeno, alcune disposizioni possono richiedere, per la loro attuazione, l’adozione di misure di applicazione da parte degli Stati membri (v., in tal senso, sentenza del 28 aprile 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, punto 58 e giurisprudenza ivi citata).
65 Tale ipotesi ricorre in particolare nel caso del RGPD, alcune disposizioni del quale offrono agli Stati membri la possibilità di prevedere norme nazionali supplementari, più rigorose o a carattere derogatorio, che lasciano ad essi un margine di discrezionalità circa il modo in cui tali disposizioni possono essere attuate (sentenza del 28 aprile 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, paragrafo 57).
66 Analogamente, in assenza di norme procedurali specifiche nel RGPD, spetta all’ordinamento giuridico di ciascuno Stato membro stabilire, nel rispetto dei principi di equivalenza e di effettività, le modalità delle azioni volte a garantire la salvaguardia dei diritti che i singoli traggono dalle disposizioni di tale regolamento [v., in tal senso, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C-300/21 EU:C:2023:370, punti 53 e 54, nonché la giurisprudenza ivi citata].
67 Tuttavia, nulla nella formulazione dell’articolo 83, paragrafi da 1 a 6, del RGPD consente di ritenere che il legislatore dell’Unione abbia inteso lasciare un margine di discrezionalità agli Stati membri per quanto riguarda le condizioni sostanziali che devono essere rispettate da un’autorità di controllo quando quest’ultima decide di infliggere una sanzione amministrativa pecuniaria al titolare del trattamento per una violazione di cui ai paragrafi da 4 a 6 di tale articolo.
68 È vero che, da un lato, ai sensi dell’articolo 83, paragrafo 7, del RGPD ogni Stato membro può prevedere norme che stabiliscano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici stabiliti in tale Stato membro. Dall’altro lato, dall’articolo 83, paragrafo 8, di tale regolamento, letto alla luce del considerando 129 di quest’ultimo, risulta che l’esercizio, da parte dell’autorità di controllo, dei poteri attribuitile da tale articolo è soggetto a garanzie procedurali adeguate in conformità del diritto dell’Unione e degli Stati membri, inclusi il ricorso giurisdizionale effettivo e il giusto processo.
69 Tuttavia, il fatto che detto regolamento offra agli Stati membri la possibilità di stabilire eccezioni in relazione alle autorità pubbliche e agli organismi pubblici stabiliti nel loro territorio e requisiti relativi alla procedura che le autorità di controllo devono seguire nell’irrogare una sanzione amministrativa pecuniaria non significa in alcun modo che tali Stati possano anche stabilire, oltre a tali eccezioni e requisiti procedurali, condizioni sostanziali che devono essere soddisfatte per far sorgere la responsabilità del titolare del trattamento responsabile e imporgli una sanzione amministrativa pecuniaria ai sensi dell’articolo 83. Inoltre, il fatto che il legislatore dell’Unione si sia preoccupato di prevedere espressamente tale possibilità ma non quella di prevedere siffatte condizioni sostanziali conferma che non ha lasciato agli Stati membri un margine di discrezionalità al riguardo.
70 Tale constatazione è altresì corroborata da una lettura congiunta degli articoli 83 e 84 del RGPD. L’articolo 84, paragrafo 1, di tale regolamento ammette, infatti, che gli Stati membri conservano la competenza a determinare il regime delle «altre sanzioni per le violazioni» di tale regolamento, «in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83». Da una siffatta lettura congiunta di tali disposizioni risulta quindi che esula da tale competenza la determinazione delle condizioni sostanziali che consentano di infliggere siffatte sanzioni amministrative pecuniarie. Dette condizioni rientrano pertanto unicamente nell’ambito del diritto dell’Unione.
71 Per quanto riguarda dette condizioni, occorre rilevare che l’articolo 83, paragrafo 2, del RGPD elenca gli elementi in base ai quali l’autorità di controllo infligge una sanzione amministrativa pecuniaria al titolare del trattamento. Tra tali elementi compare, alla lettera b) di tale disposizione, «il carattere doloso o colposo della violazione». Per contro, nessuno degli elementi elencati in detta disposizione menziona una qualsiasi possibilità che la responsabilità del titolare del trattamento sorga in assenza di un suo comportamento colpevole.
72 Occorre, inoltre, leggere l’articolo 83, paragrafo 2, del RGPD, in combinato disposto con il paragrafo 3 del medesimo articolo, il cui scopo è prevedere le conseguenze dei casi di cumulo di violazioni di tale regolamento e ai sensi del quale «[s]e, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».
73 Dalla formulazione dell’articolo 83, paragrafo 2, del RGPD emerge quindi che solo le violazioni delle disposizioni di tale regolamento commesse colpevolmente dal titolare del trattamento, ossia quelle commesse con dolo o colpa, possono condurre all’irrogazione a quest’ultimo di una sanzione amministrativa pecuniaria in applicazione di tale articolo.
74 L’economia generale e la finalità del RGPD corroborano tale interpretazione.
75 Da un lato, il legislatore dell’Unione ha previsto un sistema di sanzioni che consente alle autorità di controllo di imporre le sanzioni più appropriate a seconda delle circostanze di ciascun caso.
76 L’articolo 58 del RGPD, che fissa i poteri delle autorità di controllo, prevede, infatti, al paragrafo 2, lettera i), che tali autorità possono imporre le sanzioni amministrative pecuniarie, in applicazione dell’articolo 83 di tale regolamento, «in aggiunta» «o in luogo» delle altre misure correttive elencate in tale articolo 58, paragrafo 2, quali avvertimenti, richiami all’ordine o ingiunzioni. Allo stesso modo, il considerando 148 di detto regolamento enuncia in particolare che è consentito alle autorità di controllo, nel caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisca un onere sproporzionato per una persona fisica, di astenersi dall’imporre una sanzione pecuniaria e di rivolgere, in suo luogo, un richiamo all’ordine.
77 Dall’altro lato, dal considerando 10 del RGPD risulta, in particolare, che le disposizioni di quest’ultimo hanno, in particolare, l’obiettivo di assicurare un livello coerente ed elevato di protezione delle persone fisiche con riguardo al trattamento dei dati personali all’interno dell’Unione e di assicurare, a tal fine, un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. I considerando 11 e 129 del RGPD sottolineano, inoltre, la necessità, al fine di garantire un’applicazione coerente di tale regolamento, di vegliare a che le autorità di controllo dispongano di poteri equivalenti di sorveglianza e di controllo del rispetto delle norme relative alla protezione dei dati personali e possano infliggere sanzioni equivalenti in caso di violazione di detto regolamento.
78 L’esistenza di un sistema sanzionatorio che consenta di imporre, qualora le circostanze specifiche di ciascun caso lo giustifichino, una sanzione amministrativa pecuniaria in applicazione dell’articolo 83 del RGPD crea, per i titolari del trattamento e i responsabili del trattamento, un incentivo a conformarsi a tale regolamento. Per il loro effetto dissuasivo, le sanzioni amministrative pecuniarie contribuiscono a rafforzare la protezione delle persone fisiche con riguardo al trattamento dei dati personali e costituiscono pertanto un elemento chiave per garantire il rispetto dei diritti di tali persone, conformemente alla finalità di detto regolamento di assicurare un livello elevato di protezione di tali persone con riguardo al trattamento dei dati personali.
79 Tuttavia, il legislatore dell’Unione, per garantire un siffatto elevato livello di protezione, non ha ritenuto necessario prevedere l’imposizione di sanzioni amministrative pecuniarie in assenza di colpa. Tenuto conto del fatto che il RGPD mira a un livello di protezione al contempo equivalente e omogeneo e che, a tal fine, esso deve essere applicato in modo coerente in tutta l’Unione, sarebbe contrario a tale finalità consentire agli Stati membri di prevedere un regime del genere per l’irrogazione di una sanzione pecuniaria in applicazione dell’articolo 83 di detto regolamento. Una libertà di scelta di questo tipo sarebbe, inoltre, atta a falsare la concorrenza tra gli operatori economici all’interno dell’Unione, il che sarebbe in contrasto con gli obiettivi espressi dal legislatore dell’Unione, in particolare, ai considerando 9 e 13 di detto regolamento.
80 Di conseguenza, si deve constatare che l’articolo 83 del RGPD non consente di irrogare una sanzione amministrativa pecuniaria per una violazione di cui ai suoi paragrafi da 4 a 6, senza che sia dimostrato che tale violazione sia stata commessa con dolo o colpa dal titolare del trattamento, e che, pertanto, una violazione colpevole costituisce una condizione per l’imposizione di una siffatta ammenda.
81 A tal riguardo, occorre inoltre precisare, per quanto riguarda la questione se una violazione sia stata commessa con dolo o colpa e possa, pertanto, essere sanzionata con una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 del RGPD, che un titolare del trattamento può essere sanzionato per un comportamento rientrante nell’ambito di applicazione del RGPD, allorché tale titolare del trattamento non poteva ignorare il carattere illecito del suo comportamento, a prescindere dalla sua consapevolezza o meno di violare le disposizioni del RGPD (v., per analogia, sentenze del 18 giugno 2013, Schenker & Co. e a., C-681/11, EU:C:2013:404, punto 37 e giurisprudenza ivi citata, nonché del 25 marzo 2021, Lundbeck/Commissione, C-591/16 P, EU:C:2021:243, punto 156, e del 25 marzo 2021, Arrow Group e Arrow Generics/Commissione, C-601/16 P, EU:C:2021:244, punto 97).
82 Qualora il titolare del trattamento sia una persona giuridica, occorre ancora precisare che l’applicazione dell’articolo 83 del RGPD non presuppone un’azione o neppure una conoscenza dell’organo di gestione di tale persona giuridica (v., per analogia, sentenze del 7 giugno 1983, Musique Diffusion française e a./Commissione, da 100/80 a 103/80, EU:C:1983:158, punto 97, e del 16 febbraio 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/Commissione, C-94/15 P, EU:C:2017:124, punto 28 e giurisprudenza ivi citata).
83 Per quanto riguarda, in secondo luogo, la questione se una sanzione amministrativa pecuniaria possa essere inflitta, in applicazione dell’articolo 83 del RGPD, a un titolare del trattamento riguardo alle operazioni di trattamento effettuate da un responsabile del trattamento, occorre ricordare che, secondo la definizione di cui all’articolo 4, punto 8, del RGPD, è responsabile del trattamento «la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento».
84 Poiché, come indicato al punto 36 della presente sentenza, un titolare del trattamento è responsabile non solo dei trattamenti di dati personali che effettua direttamente, ma anche di quelli effettuati per suo conto, tale titolare del trattamento può vedersi infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 del RGPD in una situazione in cui i dati personali sono oggetto di un trattamento illecito e non è siffatto titolare del trattamento, bensì un responsabile del trattamento, di cui esso si è avvalso, che ha effettuato tale trattamento per conto del titolare.
85 Tuttavia, la responsabilità del titolare del trattamento per il comportamento del responsabile del trattamento non può estendersi alle situazioni in cui il responsabile del trattamento ha trattato dati personali per finalità sono ad esso proprie o in cui ha trattato tali dati in modo incompatibile con il quadro o le modalità del trattamento quali erano stati determinati dal titolare del trattamento o in modo tale che non si può ragionevolmente ritenere che tale titolare abbia a ciò acconsentito. Infatti, conformemente all’articolo 28, paragrafo 10, del RGPD, in un’ipotesi del genere il responsabile del trattamento deve essere considerato titolare del trattamento per quanto riguarda un trattamento siffatto.
86 Alla luce delle considerazioni che precedono, occorre rispondere alla sesta questione dichiarando che l’articolo 83 del RGPD deve essere interpretato nel senso che, da un lato, una sanzione amministrativa pecuniaria può essere irrogata ai sensi di tale disposizione solo qualora sia accertato che il titolare del trattamento ha commesso, con dolo o colpa, una violazione di cui ai paragrafi da 4 a 6 di detto articolo e, dall’altro, una sanzione pecuniaria siffatta può essere inflitta a un titolare del trattamento in relazione a operazioni di trattamento di dati personali effettuate per suo conto da un responsabile del trattamento, salvo che, nell’ambito di tali operazioni, detto responsabile del trattamento abbia effettuato trattamenti per finalità che gli sono proprie o abbia trattato tali dati in modo incompatibile con il quadro o le modalità del trattamento quali erano stati determinati dal titolare del trattamento o in modo tale che non si può ragionevolmente ritenere che tale titolare abbia a ciò acconsentito.
Sulle spese
87 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
Per questi motivi, la Corte (Grande Sezione) dichiara:
1) L’articolo 4, punto 7, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),
deve essere interpretato nel senso che:
può essere considerato titolare del trattamento, ai sensi di tale disposizione, un ente che ha incaricato un’impresa di sviluppare un’applicazione informatica mobile e che, in tale contesto, ha partecipato alla determinazione delle finalità e dei mezzi del trattamento dei dati personali effettuato mediante tale applicazione, anche se tale ente non ha proceduto, esso stesso, a operazioni di trattamento di tali dati, non ha dato esplicitamente il proprio consenso alla realizzazione delle operazioni concrete di un siffatto trattamento o alla messa a disposizione del pubblico di detta applicazione mobile e non ha acquisito quella stessa applicazione mobile, salvo che, prima di tale messa a disposizione nei confronti del pubblico, il suddetto ente si sia espressamente opposto ad essa e al trattamento dei dati personali che ne è derivato.
2) L’articolo 4, punto 7, e l’articolo 26, paragrafo 1, del regolamento 2016/679
devono essere interpretati nel senso che:
la qualificazione di due enti come contitolari del trattamento non presuppone né l’esistenza di un accordo tra di essi sulla determinazione delle finalità e dei mezzi del trattamento dei dati personali di cui trattasi né l’esistenza di un accordo che fissi le condizioni relative alla contitolarità del trattamento.
3) L’articolo 4, punto 2, del regolamento 2016/679
deve essere interpretato nel senso che:
costituisce un «trattamento», ai sensi di tale disposizione, l’uso di dati personali a fini di test informatici di un’applicazione mobile, salvo che tali dati siano stati resi anonimi in modo da impedire o da non consentire più l’identificazione dell’interessato o che si tratti di dati fittizi che non si riferiscono a una persona fisica esistente.
4) L’articolo 83 del regolamento 2016/679
deve essere interpretato nel senso che:
da un lato, una sanzione amministrativa pecuniaria può essere irrogata ai sensi di tale disposizione solo qualora sia accertato che il titolare del trattamento ha commesso, con dolo o colpa, una violazione di cui ai paragrafi da 4 a 6 di detto articolo e,
dall’altro, una sanzione pecuniaria siffatta può essere inflitta a un titolare del trattamento in relazione a operazioni di trattamento di dati personali effettuate per suo conto da un responsabile del trattamento, salvo che, nell’ambito di tali operazioni, detto responsabile del trattamento abbia effettuato trattamenti per finalità che gli sono proprie o abbia trattato tali dati in modo incompatibile con il quadro o le modalità del trattamento quali erano stati determinati dal titolare del trattamento o in modo tale che non si può ragionevolmente ritenere che tale titolare abbia a ciò acconsentito.
Firme