Il Caso di DW: GDPR e Responsabilit\u00e0 Aziendale<\/h3>\n\n\n\nIntroduzione al Caso<\/strong><\/h4>\n\n\n\n
La recente vicenda che ha coinvolto la societ\u00e0 immobiliare DW ha sollevato questioni fondamentali riguardanti l’applicazione del GDPR in Germania. DW, una societ\u00e0 che gestisce un vasto portfolio di unit\u00e0 abitative e commerciali, si \u00e8 trovata al centro di un contenzioso significativo per presunte violazioni del GDPR, con implicazioni che vanno ben oltre il caso specifico.<\/p>\n\n\n\n
Violazioni e Sanzioni<\/strong><\/h4>\n\n\n\n
Nel 2017, le autorit\u00e0 di protezione dei dati di Berlino hanno rilevato che DW stava utilizzando un sistema di archiviazione dei dati personali potenzialmente non conforme al GDPR. Nonostante l’impegno a trasferire tali dati in un sistema pi\u00f9 sicuro, DW non ha effettuato le modifiche necessarie. Di conseguenza, nel 2019, la DPA ha imposto a DW una sanzione di 14,385 milioni di euro per violazioni intenzionali di varie disposizioni del GDPR.<\/p>\n\n\n\n
Questioni Giuridiche Sollevate<\/strong><\/h4>\n\n\n\n
La controversia ha portato alla luce la tensione tra il regime di responsabilit\u00e0 limitata delle persone giuridiche, come previsto dal diritto nazionale tedesco, e il regime di responsabilit\u00e0 diretta delle imprese delineato dall’articolo 83 del GDPR. Il dibattito si \u00e8 concentrato sulla possibilit\u00e0 di irrogare sanzioni amministrative direttamente alle imprese senza dover attribuire la violazione a una persona fisica specifica.<\/p>\n\n\n\n
Ricorsi e Decisioni Giudiziarie<\/strong><\/h4>\n\n\n\n
DW ha impugnato la sanzione, portando il caso davanti al tribunale regionale di Berlino. Successivamente, la Procura di Berlino ha presentato ricorso al Tribunale regionale superiore, che ha sollevato questioni pregiudiziali alla CGUE per chiarire l’interpretazione dell’articolo 83 GDPR.<\/p>\n\n\n\n
Il caso Centro nazionale lituano di sanit\u00e0 pubblica del Ministero della Salute<\/h3>\n\n\n\n
In un mondo sconvolto dalla pandemia di COVID-19, il governo lituano ha adottato misure tecnologiche per monitorare la diffusione del virus. Tuttavia, queste misure hanno sollevato significative questioni legali e di privacy che hanno portato a un’indagine approfondita e a sanzioni da parte dell’Autorit\u00e0 per la protezione dei dati lituana (DPA).<\/p>\n\n\n\n
Il 24 marzo 2020 segna l’inizio di un’iniziativa critica: il Ministro della Salute lituano autorizza la creazione di un sistema informatico per tracciare i dati dei cittadini esposti al COVID-19.<\/p>\n\n\n\n
1Selezione dell’Esecutore<\/h4>\n\n\n\n
Tre giorni dopo, il Centro nazionale di sanit\u00e0 pubblica lituano (CNSP) incarica la societ\u00e0 “IT sprendimai s\u0117kmei” (ITSS) di sviluppare l’applicazione mobile necessaria.<\/p>\n\n\n\n
Implementazione e Privacy<\/strong><\/h4>\n\n\n\nL’applicazione diventa operativa ad aprile e rimane attiva fino a maggio 2020, con 3802 utenti che condividono dati sensibili come identit\u00e0 e posizione geografica.<\/p>\n\n\n\n
Il 10 aprile, il CNSP \u00e8 incaricato di formalizzare l’acquisizione dell’app da ITSS, ma non viene stipulato alcun contratto pubblico, lasciando l’acquisto in una zona grigia legale.<\/p>\n\n\n\n
Il finanziamento cade attraverso, come rivelato in una comunicazione del 4 giugno, mettendo fine a qualsiasi processo di appalto in corso.<\/p>\n\n\n\n
Indagine e Sanzioni della DPA<\/strong><\/h4>\n\n\n\nIl 18 maggio, la DPA inizia un’indagine sull’app e il trattamento dei dati raccolti, scoprendo violazioni multiple del GDPR.<\/p>\n\n\n\n
Le Sanzioni<\/h4>\n\n\n\n
Il 24 febbraio 2021, la DPA impone sanzioni pecuniarie sia al CNSP che a ITSS per un totale di 15.000 euro per non conformit\u00e0 al GDPR.<\/p>\n\n\n\n
Ricorso al Tribunale<\/h4>\n\n\n\n
Il CNSP contesta la decisione della DPA, portando il caso al Tribunale amministrativo regionale di Vilnius e sollevando questioni sull’interpretazione del ruolo di “responsabile del trattamento”.<\/p>\n\n\n\n
Questioni Pregiudiziali alla CGUE<\/h4>\n\n\n\n
Il tribunale sospende il caso e presenta domande pregiudiziali alla Corte di Giustizia dell’Unione Europea (CGUE), cercando chiarimenti su definizioni chiave e responsabilit\u00e0 nel GDPR.<\/p>\n\n\n\n
La sentenza della Corte di Giustizia EU. <\/h3>\n\n\n\n
Solo una violazione intenzionale o negligente del regolamento generale sulla protezione dei dati pu\u00f2 comportare l’imposizione di una sanzione amministrativa pecuniaria. <\/p>\n\n\n\n
Secondo la Corte di Giustizia, \u00e8 possibile infliggere una sanzione amministrativa pecuniaria per violazione del RGPD solo se tale violazione \u00e8 stata commessa in modo illecito, cio\u00e8 intenzionalmente o per negligenza. <\/p>\n\n\n\n
La violazione intenzionale o per negligenza del regolamento si verifica quando il titolare non pu\u00f2 ignorare la illiceit\u00e0 del proprio comportamento, indipendentemente dalla consapevolezza dell’infrazione.<\/p>\n\n\n\n
La colpa o il dolo rilevanti<\/h3>\n\n\n\n
L’illecito si verifica quando il responsabile del trattamento non poteva ignorare la sua condotta illecita, indipendentemente dal fatto che fosse a conoscenza o meno della violazione.<\/p>\n\n\n\n
Quando una persona giuridica \u00e8 il titolare del trattamento, non \u00e8 necessario che la violazione sia stata commessa da uno dei suoi organi amministrativi o che tale organo ne abbia avuto conoscenza. Una persona giuridica \u00e8 responsabile sia delle violazioni commesse dai suoi rappresentanti, direttori o amministratori, sia di quelle commesse da chiunque agisca nell’ambito della sua attivit\u00e0 commerciale o per suo conto.<\/p>\n\n\n\n
Solo una violazione intenzionale o negligente del regolamento generale sulla protezione dei dati pu\u00f2 comportare l’imposizione di una sanzione amministrativa pecuniaria. Questa \u00e8 l’affermazione della Corte UE contenuta nelle sentenze C-683\/21 e C-807\/21, in cui i giudici precisano anche che se il destinatario della sanzione pecuniaria fa parte di un gruppo di societ\u00e0, la sanzione deve essere calcolata in base al fatturato del gruppo.<\/p>\n\n\n\n
La storica decisione odierna della Corte di Giustizia dell’Unione Europea sulle sanzioni amministrative GDPR rafforza l’applicazione del GDPR dell’UE, riducendo i requisiti per l’imposizione di sanzioni alle persone giuridiche. <\/p>\n\n\n\n
Secondo la decisione odierna, ai titolari del trattamento pu\u00f2 essere inflitta una sanzione per violazione quando la violazione \u00e8 stata commessa in modo illegittimo, ovvero intenzionalmente o per negligenza.<\/p>\n\n\n\n
Inoltre, il titolare del trattamento potrebbe essere soggetto a una sanzione “per le operazioni svolte da un responsabile del trattamento, nella misura in cui il titolare del trattamento pu\u00f2 essere considerato responsabile di tali operazioni”.<\/p>\n\n\n\n
L’ignoranza della legge non scusa <\/h3>\n\n\n\n
Anche l’ignoranza della violazione non pu\u00f2 essere considerata una scusa, poich\u00e9 la societ\u00e0 \u00e8 responsabile delle violazioni commesse da coloro che agiscono per suo conto.<\/p>\n\n\n\n
“La multa non richiede alcuna azione o conoscenza da parte dell’organo amministrativo dell’azienda<\/p>\n\n\n\n
Per “minimizzare i rischi di responsabilit\u00e0” in futuro, le aziende dovranno “garantire che i dipendenti ricevano istruzioni pi\u00f9 chiare sulla protezione dei dati e che queste siano attentamente monitorate”<\/p>\n\n\n\n
La sanzione inflitta al gruppo di imprese<\/h3>\n\n\n\n
Nel caso in cui il destinatario della sanzione pecuniaria sia parte di un gruppo di societ\u00e0, l’importo dell’ammenda deve essere calcolato in base al fatturato dell’intero gruppo. <\/p>\n\n\n\n
L’effettivo responsabile della violazione <\/h3>\n\n\n\n
Inoltre, l’imposizione di una sanzione amministrativa pecuniaria a una persona giuridica in qualit\u00e0 di titolare del trattamento non pu\u00f2 essere condizionata dalla previa constatazione che tale violazione sia stata commessa da una persona fisica identificata.<\/p>\n\n\n\n
Un titolare del trattamento pu\u00f2 essere sanzionato anche per le operazioni effettuate da un subappaltatore, a condizione che tali operazioni possano essere attribuite al titolare stesso. <\/p>\n\n\n\n
Inoltre, la Corte precisa che quando il titolare del trattamento \u00e8 una persona giuridica, non \u00e8 necessario che la violazione sia stata commessa da un suo organo amministrativo o che quest’ultimo ne sia stato a conoscenza.<\/p>\n\n\n\n
Nel caso delle persone giuridiche, la societ\u00e0 \u00e8 responsabile sia se la violazione \u00e8 stata commessa dai suoi rappresentanti, direttori o amministratori, sia nel caso in cui sia commessa da chiunque agisca nel contesto della sua attivit\u00e0 commerciale o per suo conto. <\/p>\n\n\n\n
Non \u00e8 necessario identificare preventivamente la persona fisica responsabile della violazione.<\/p>\n\n\n\n
L’ipotesi di contitolarit\u00e0 <\/h3>\n\n\n\n
E riguardo alla contitolarit\u00e0 di due o pi\u00f9 enti, la Corte precisa che questa deriva semplicemente dal fatto che tali enti abbiano partecipato alla determinazione delle finalit\u00e0 e dei mezzi del trattamento. <\/p>\n\n\n\n
La qualifica di “contitolari” non presuppone l’esistenza di un accordo formale tra gli enti coinvolti. <\/p>\n\n\n\n
\u00c8 necessaria una decisione condivisa, cos\u00ec come decisioni che convergano.<\/p>\n\n\n\n
Nel caso in cui due o pi\u00f9 enti siano co-titolari, tale situazione deriva semplicemente dal fatto che tali enti hanno partecipato alla definizione degli obiettivi e dei metodi di trattamento.<\/p>\n\n\n\n
“\u00c8 sufficiente una decisione comune, cos\u00ec come alcune decisioni convergenti”.<\/p>\n\n\n\n
Inoltre, \u00e8 importante precisare che se si tratta effettivamente di contitolari, questi ultimi devono stabilire di comune accordo i loro rispettivi obblighi.<\/p>\n\n\n\n
Il calcolo della sanzione <\/h3>\n\n\n\n
Per quanto riguarda il calcolo delle sanzioni pecuniarie per le imprese, l’autorit\u00e0 di controllo deve fare riferimento alla definizione di “impresa” nel diritto della concorrenza. <\/p>\n\n\n\n
Di conseguenza, l’importo massimo delle sanzioni pecuniarie deve essere calcolato come una percentuale del fatturato annuo mondiale dell’anno precedente dell’impresa interessata, considerando l’intera entit\u00e0 dell’impresa.<\/p>\n\n\n\n
Per poter irrogare una sanzione, secondo la Corte, \u00e8 necessario che vi sia un comportamento illecito, attribuibile a dolo o colpa. Nel caso in cui il destinatario della sanzione pecuniaria sia parte di un gruppo di societ\u00e0, l’importo da pagare sar\u00e0 calcolato considerando il fatturato dell’intero gruppo.<\/p>\n\n\n\n
Conclusioni <\/h3>\n\n\n\n
Questa decisione della CGUE rappresenta un punto di svolta nell’applicazione del GDPR e nella definizione della responsabilit\u00e0 aziendale. Mette in evidenza l’importanza per le aziende di adottare misure adeguate per garantire la conformit\u00e0 al GDPR, poich\u00e9 possono essere direttamente sanzionate senza dover identificare un colpevole individuale all’interno dell’organizzazione. La sentenza ribadisce inoltre il principio secondo cui la protezione dei dati personali \u00e8 una responsabilit\u00e0 che grava su tutte le entit\u00e0 coinvolte nel trattamento dei dati.
<\/p>\n\n\n\n
La recente vicenda che ha coinvolto la societ\u00e0 immobiliare DW ha sollevato questioni fondamentali riguardanti l’applicazione del GDPR in Germania. DW, una societ\u00e0 che gestisce un vasto portfolio di unit\u00e0 abitative e commerciali, si \u00e8 trovata al centro di un contenzioso significativo per presunte violazioni del GDPR, con implicazioni che vanno ben oltre il caso specifico.<\/p>\n\n\n\n
Violazioni e Sanzioni<\/strong><\/h4>\n\n\n\n
Nel 2017, le autorit\u00e0 di protezione dei dati di Berlino hanno rilevato che DW stava utilizzando un sistema di archiviazione dei dati personali potenzialmente non conforme al GDPR. Nonostante l’impegno a trasferire tali dati in un sistema pi\u00f9 sicuro, DW non ha effettuato le modifiche necessarie. Di conseguenza, nel 2019, la DPA ha imposto a DW una sanzione di 14,385 milioni di euro per violazioni intenzionali di varie disposizioni del GDPR.<\/p>\n\n\n\n
Questioni Giuridiche Sollevate<\/strong><\/h4>\n\n\n\n
La controversia ha portato alla luce la tensione tra il regime di responsabilit\u00e0 limitata delle persone giuridiche, come previsto dal diritto nazionale tedesco, e il regime di responsabilit\u00e0 diretta delle imprese delineato dall’articolo 83 del GDPR. Il dibattito si \u00e8 concentrato sulla possibilit\u00e0 di irrogare sanzioni amministrative direttamente alle imprese senza dover attribuire la violazione a una persona fisica specifica.<\/p>\n\n\n\n
Ricorsi e Decisioni Giudiziarie<\/strong><\/h4>\n\n\n\n
DW ha impugnato la sanzione, portando il caso davanti al tribunale regionale di Berlino. Successivamente, la Procura di Berlino ha presentato ricorso al Tribunale regionale superiore, che ha sollevato questioni pregiudiziali alla CGUE per chiarire l’interpretazione dell’articolo 83 GDPR.<\/p>\n\n\n\n
Il caso Centro nazionale lituano di sanit\u00e0 pubblica del Ministero della Salute<\/h3>\n\n\n\n
In un mondo sconvolto dalla pandemia di COVID-19, il governo lituano ha adottato misure tecnologiche per monitorare la diffusione del virus. Tuttavia, queste misure hanno sollevato significative questioni legali e di privacy che hanno portato a un’indagine approfondita e a sanzioni da parte dell’Autorit\u00e0 per la protezione dei dati lituana (DPA).<\/p>\n\n\n\n
Il 24 marzo 2020 segna l’inizio di un’iniziativa critica: il Ministro della Salute lituano autorizza la creazione di un sistema informatico per tracciare i dati dei cittadini esposti al COVID-19.<\/p>\n\n\n\n
1Selezione dell’Esecutore<\/h4>\n\n\n\n
Tre giorni dopo, il Centro nazionale di sanit\u00e0 pubblica lituano (CNSP) incarica la societ\u00e0 “IT sprendimai s\u0117kmei” (ITSS) di sviluppare l’applicazione mobile necessaria.<\/p>\n\n\n\n
Implementazione e Privacy<\/strong><\/h4>\n\n\n\nL’applicazione diventa operativa ad aprile e rimane attiva fino a maggio 2020, con 3802 utenti che condividono dati sensibili come identit\u00e0 e posizione geografica.<\/p>\n\n\n\n
Il 10 aprile, il CNSP \u00e8 incaricato di formalizzare l’acquisizione dell’app da ITSS, ma non viene stipulato alcun contratto pubblico, lasciando l’acquisto in una zona grigia legale.<\/p>\n\n\n\n
Il finanziamento cade attraverso, come rivelato in una comunicazione del 4 giugno, mettendo fine a qualsiasi processo di appalto in corso.<\/p>\n\n\n\n
Indagine e Sanzioni della DPA<\/strong><\/h4>\n\n\n\nIl 18 maggio, la DPA inizia un’indagine sull’app e il trattamento dei dati raccolti, scoprendo violazioni multiple del GDPR.<\/p>\n\n\n\n
Le Sanzioni<\/h4>\n\n\n\n
Il 24 febbraio 2021, la DPA impone sanzioni pecuniarie sia al CNSP che a ITSS per un totale di 15.000 euro per non conformit\u00e0 al GDPR.<\/p>\n\n\n\n
Ricorso al Tribunale<\/h4>\n\n\n\n
Il CNSP contesta la decisione della DPA, portando il caso al Tribunale amministrativo regionale di Vilnius e sollevando questioni sull’interpretazione del ruolo di “responsabile del trattamento”.<\/p>\n\n\n\n
Questioni Pregiudiziali alla CGUE<\/h4>\n\n\n\n
Il tribunale sospende il caso e presenta domande pregiudiziali alla Corte di Giustizia dell’Unione Europea (CGUE), cercando chiarimenti su definizioni chiave e responsabilit\u00e0 nel GDPR.<\/p>\n\n\n\n
La sentenza della Corte di Giustizia EU. <\/h3>\n\n\n\n
Solo una violazione intenzionale o negligente del regolamento generale sulla protezione dei dati pu\u00f2 comportare l’imposizione di una sanzione amministrativa pecuniaria. <\/p>\n\n\n\n
Secondo la Corte di Giustizia, \u00e8 possibile infliggere una sanzione amministrativa pecuniaria per violazione del RGPD solo se tale violazione \u00e8 stata commessa in modo illecito, cio\u00e8 intenzionalmente o per negligenza. <\/p>\n\n\n\n
La violazione intenzionale o per negligenza del regolamento si verifica quando il titolare non pu\u00f2 ignorare la illiceit\u00e0 del proprio comportamento, indipendentemente dalla consapevolezza dell’infrazione.<\/p>\n\n\n\n
La colpa o il dolo rilevanti<\/h3>\n\n\n\n
L’illecito si verifica quando il responsabile del trattamento non poteva ignorare la sua condotta illecita, indipendentemente dal fatto che fosse a conoscenza o meno della violazione.<\/p>\n\n\n\n
Quando una persona giuridica \u00e8 il titolare del trattamento, non \u00e8 necessario che la violazione sia stata commessa da uno dei suoi organi amministrativi o che tale organo ne abbia avuto conoscenza. Una persona giuridica \u00e8 responsabile sia delle violazioni commesse dai suoi rappresentanti, direttori o amministratori, sia di quelle commesse da chiunque agisca nell’ambito della sua attivit\u00e0 commerciale o per suo conto.<\/p>\n\n\n\n
Solo una violazione intenzionale o negligente del regolamento generale sulla protezione dei dati pu\u00f2 comportare l’imposizione di una sanzione amministrativa pecuniaria. Questa \u00e8 l’affermazione della Corte UE contenuta nelle sentenze C-683\/21 e C-807\/21, in cui i giudici precisano anche che se il destinatario della sanzione pecuniaria fa parte di un gruppo di societ\u00e0, la sanzione deve essere calcolata in base al fatturato del gruppo.<\/p>\n\n\n\n
La storica decisione odierna della Corte di Giustizia dell’Unione Europea sulle sanzioni amministrative GDPR rafforza l’applicazione del GDPR dell’UE, riducendo i requisiti per l’imposizione di sanzioni alle persone giuridiche. <\/p>\n\n\n\n
Secondo la decisione odierna, ai titolari del trattamento pu\u00f2 essere inflitta una sanzione per violazione quando la violazione \u00e8 stata commessa in modo illegittimo, ovvero intenzionalmente o per negligenza.<\/p>\n\n\n\n
Inoltre, il titolare del trattamento potrebbe essere soggetto a una sanzione “per le operazioni svolte da un responsabile del trattamento, nella misura in cui il titolare del trattamento pu\u00f2 essere considerato responsabile di tali operazioni”.<\/p>\n\n\n\n
L’ignoranza della legge non scusa <\/h3>\n\n\n\n
Anche l’ignoranza della violazione non pu\u00f2 essere considerata una scusa, poich\u00e9 la societ\u00e0 \u00e8 responsabile delle violazioni commesse da coloro che agiscono per suo conto.<\/p>\n\n\n\n
“La multa non richiede alcuna azione o conoscenza da parte dell’organo amministrativo dell’azienda<\/p>\n\n\n\n
Per “minimizzare i rischi di responsabilit\u00e0” in futuro, le aziende dovranno “garantire che i dipendenti ricevano istruzioni pi\u00f9 chiare sulla protezione dei dati e che queste siano attentamente monitorate”<\/p>\n\n\n\n
La sanzione inflitta al gruppo di imprese<\/h3>\n\n\n\n
Nel caso in cui il destinatario della sanzione pecuniaria sia parte di un gruppo di societ\u00e0, l’importo dell’ammenda deve essere calcolato in base al fatturato dell’intero gruppo. <\/p>\n\n\n\n
L’effettivo responsabile della violazione <\/h3>\n\n\n\n
Inoltre, l’imposizione di una sanzione amministrativa pecuniaria a una persona giuridica in qualit\u00e0 di titolare del trattamento non pu\u00f2 essere condizionata dalla previa constatazione che tale violazione sia stata commessa da una persona fisica identificata.<\/p>\n\n\n\n
Un titolare del trattamento pu\u00f2 essere sanzionato anche per le operazioni effettuate da un subappaltatore, a condizione che tali operazioni possano essere attribuite al titolare stesso. <\/p>\n\n\n\n
Inoltre, la Corte precisa che quando il titolare del trattamento \u00e8 una persona giuridica, non \u00e8 necessario che la violazione sia stata commessa da un suo organo amministrativo o che quest’ultimo ne sia stato a conoscenza.<\/p>\n\n\n\n
Nel caso delle persone giuridiche, la societ\u00e0 \u00e8 responsabile sia se la violazione \u00e8 stata commessa dai suoi rappresentanti, direttori o amministratori, sia nel caso in cui sia commessa da chiunque agisca nel contesto della sua attivit\u00e0 commerciale o per suo conto. <\/p>\n\n\n\n
Non \u00e8 necessario identificare preventivamente la persona fisica responsabile della violazione.<\/p>\n\n\n\n
L’ipotesi di contitolarit\u00e0 <\/h3>\n\n\n\n
E riguardo alla contitolarit\u00e0 di due o pi\u00f9 enti, la Corte precisa che questa deriva semplicemente dal fatto che tali enti abbiano partecipato alla determinazione delle finalit\u00e0 e dei mezzi del trattamento. <\/p>\n\n\n\n
La qualifica di “contitolari” non presuppone l’esistenza di un accordo formale tra gli enti coinvolti. <\/p>\n\n\n\n
\u00c8 necessaria una decisione condivisa, cos\u00ec come decisioni che convergano.<\/p>\n\n\n\n
Nel caso in cui due o pi\u00f9 enti siano co-titolari, tale situazione deriva semplicemente dal fatto che tali enti hanno partecipato alla definizione degli obiettivi e dei metodi di trattamento.<\/p>\n\n\n\n
“\u00c8 sufficiente una decisione comune, cos\u00ec come alcune decisioni convergenti”.<\/p>\n\n\n\n
Inoltre, \u00e8 importante precisare che se si tratta effettivamente di contitolari, questi ultimi devono stabilire di comune accordo i loro rispettivi obblighi.<\/p>\n\n\n\n
Il calcolo della sanzione <\/h3>\n\n\n\n
Per quanto riguarda il calcolo delle sanzioni pecuniarie per le imprese, l’autorit\u00e0 di controllo deve fare riferimento alla definizione di “impresa” nel diritto della concorrenza. <\/p>\n\n\n\n
Di conseguenza, l’importo massimo delle sanzioni pecuniarie deve essere calcolato come una percentuale del fatturato annuo mondiale dell’anno precedente dell’impresa interessata, considerando l’intera entit\u00e0 dell’impresa.<\/p>\n\n\n\n
Per poter irrogare una sanzione, secondo la Corte, \u00e8 necessario che vi sia un comportamento illecito, attribuibile a dolo o colpa. Nel caso in cui il destinatario della sanzione pecuniaria sia parte di un gruppo di societ\u00e0, l’importo da pagare sar\u00e0 calcolato considerando il fatturato dell’intero gruppo.<\/p>\n\n\n\n
Conclusioni <\/h3>\n\n\n\n
Questa decisione della CGUE rappresenta un punto di svolta nell’applicazione del GDPR e nella definizione della responsabilit\u00e0 aziendale. Mette in evidenza l’importanza per le aziende di adottare misure adeguate per garantire la conformit\u00e0 al GDPR, poich\u00e9 possono essere direttamente sanzionate senza dover identificare un colpevole individuale all’interno dell’organizzazione. La sentenza ribadisce inoltre il principio secondo cui la protezione dei dati personali \u00e8 una responsabilit\u00e0 che grava su tutte le entit\u00e0 coinvolte nel trattamento dei dati.
<\/p>\n\n\n\n
Nel 2017, le autorit\u00e0 di protezione dei dati di Berlino hanno rilevato che DW stava utilizzando un sistema di archiviazione dei dati personali potenzialmente non conforme al GDPR. Nonostante l’impegno a trasferire tali dati in un sistema pi\u00f9 sicuro, DW non ha effettuato le modifiche necessarie. Di conseguenza, nel 2019, la DPA ha imposto a DW una sanzione di 14,385 milioni di euro per violazioni intenzionali di varie disposizioni del GDPR.<\/p>\n\n\n\n
La controversia ha portato alla luce la tensione tra il regime di responsabilit\u00e0 limitata delle persone giuridiche, come previsto dal diritto nazionale tedesco, e il regime di responsabilit\u00e0 diretta delle imprese delineato dall’articolo 83 del GDPR. Il dibattito si \u00e8 concentrato sulla possibilit\u00e0 di irrogare sanzioni amministrative direttamente alle imprese senza dover attribuire la violazione a una persona fisica specifica.<\/p>\n\n\n\n
Ricorsi e Decisioni Giudiziarie<\/strong><\/h4>\n\n\n\n
DW ha impugnato la sanzione, portando il caso davanti al tribunale regionale di Berlino. Successivamente, la Procura di Berlino ha presentato ricorso al Tribunale regionale superiore, che ha sollevato questioni pregiudiziali alla CGUE per chiarire l’interpretazione dell’articolo 83 GDPR.<\/p>\n\n\n\n
Il caso Centro nazionale lituano di sanit\u00e0 pubblica del Ministero della Salute<\/h3>\n\n\n\n
In un mondo sconvolto dalla pandemia di COVID-19, il governo lituano ha adottato misure tecnologiche per monitorare la diffusione del virus. Tuttavia, queste misure hanno sollevato significative questioni legali e di privacy che hanno portato a un’indagine approfondita e a sanzioni da parte dell’Autorit\u00e0 per la protezione dei dati lituana (DPA).<\/p>\n\n\n\n
Il 24 marzo 2020 segna l’inizio di un’iniziativa critica: il Ministro della Salute lituano autorizza la creazione di un sistema informatico per tracciare i dati dei cittadini esposti al COVID-19.<\/p>\n\n\n\n
1Selezione dell’Esecutore<\/h4>\n\n\n\n
Tre giorni dopo, il Centro nazionale di sanit\u00e0 pubblica lituano (CNSP) incarica la societ\u00e0 “IT sprendimai s\u0117kmei” (ITSS) di sviluppare l’applicazione mobile necessaria.<\/p>\n\n\n\n
Implementazione e Privacy<\/strong><\/h4>\n\n\n\nL’applicazione diventa operativa ad aprile e rimane attiva fino a maggio 2020, con 3802 utenti che condividono dati sensibili come identit\u00e0 e posizione geografica.<\/p>\n\n\n\n
Il 10 aprile, il CNSP \u00e8 incaricato di formalizzare l’acquisizione dell’app da ITSS, ma non viene stipulato alcun contratto pubblico, lasciando l’acquisto in una zona grigia legale.<\/p>\n\n\n\n
Il finanziamento cade attraverso, come rivelato in una comunicazione del 4 giugno, mettendo fine a qualsiasi processo di appalto in corso.<\/p>\n\n\n\n
Indagine e Sanzioni della DPA<\/strong><\/h4>\n\n\n\nIl 18 maggio, la DPA inizia un’indagine sull’app e il trattamento dei dati raccolti, scoprendo violazioni multiple del GDPR.<\/p>\n\n\n\n
Le Sanzioni<\/h4>\n\n\n\n
Il 24 febbraio 2021, la DPA impone sanzioni pecuniarie sia al CNSP che a ITSS per un totale di 15.000 euro per non conformit\u00e0 al GDPR.<\/p>\n\n\n\n
Ricorso al Tribunale<\/h4>\n\n\n\n
Il CNSP contesta la decisione della DPA, portando il caso al Tribunale amministrativo regionale di Vilnius e sollevando questioni sull’interpretazione del ruolo di “responsabile del trattamento”.<\/p>\n\n\n\n
Questioni Pregiudiziali alla CGUE<\/h4>\n\n\n\n
Il tribunale sospende il caso e presenta domande pregiudiziali alla Corte di Giustizia dell’Unione Europea (CGUE), cercando chiarimenti su definizioni chiave e responsabilit\u00e0 nel GDPR.<\/p>\n\n\n\n
La sentenza della Corte di Giustizia EU. <\/h3>\n\n\n\n
Solo una violazione intenzionale o negligente del regolamento generale sulla protezione dei dati pu\u00f2 comportare l’imposizione di una sanzione amministrativa pecuniaria. <\/p>\n\n\n\n
Secondo la Corte di Giustizia, \u00e8 possibile infliggere una sanzione amministrativa pecuniaria per violazione del RGPD solo se tale violazione \u00e8 stata commessa in modo illecito, cio\u00e8 intenzionalmente o per negligenza. <\/p>\n\n\n\n
La violazione intenzionale o per negligenza del regolamento si verifica quando il titolare non pu\u00f2 ignorare la illiceit\u00e0 del proprio comportamento, indipendentemente dalla consapevolezza dell’infrazione.<\/p>\n\n\n\n
La colpa o il dolo rilevanti<\/h3>\n\n\n\n
L’illecito si verifica quando il responsabile del trattamento non poteva ignorare la sua condotta illecita, indipendentemente dal fatto che fosse a conoscenza o meno della violazione.<\/p>\n\n\n\n
Quando una persona giuridica \u00e8 il titolare del trattamento, non \u00e8 necessario che la violazione sia stata commessa da uno dei suoi organi amministrativi o che tale organo ne abbia avuto conoscenza. Una persona giuridica \u00e8 responsabile sia delle violazioni commesse dai suoi rappresentanti, direttori o amministratori, sia di quelle commesse da chiunque agisca nell’ambito della sua attivit\u00e0 commerciale o per suo conto.<\/p>\n\n\n\n
Solo una violazione intenzionale o negligente del regolamento generale sulla protezione dei dati pu\u00f2 comportare l’imposizione di una sanzione amministrativa pecuniaria. Questa \u00e8 l’affermazione della Corte UE contenuta nelle sentenze C-683\/21 e C-807\/21, in cui i giudici precisano anche che se il destinatario della sanzione pecuniaria fa parte di un gruppo di societ\u00e0, la sanzione deve essere calcolata in base al fatturato del gruppo.<\/p>\n\n\n\n
La storica decisione odierna della Corte di Giustizia dell’Unione Europea sulle sanzioni amministrative GDPR rafforza l’applicazione del GDPR dell’UE, riducendo i requisiti per l’imposizione di sanzioni alle persone giuridiche. <\/p>\n\n\n\n
Secondo la decisione odierna, ai titolari del trattamento pu\u00f2 essere inflitta una sanzione per violazione quando la violazione \u00e8 stata commessa in modo illegittimo, ovvero intenzionalmente o per negligenza.<\/p>\n\n\n\n
Inoltre, il titolare del trattamento potrebbe essere soggetto a una sanzione “per le operazioni svolte da un responsabile del trattamento, nella misura in cui il titolare del trattamento pu\u00f2 essere considerato responsabile di tali operazioni”.<\/p>\n\n\n\n
L’ignoranza della legge non scusa <\/h3>\n\n\n\n
Anche l’ignoranza della violazione non pu\u00f2 essere considerata una scusa, poich\u00e9 la societ\u00e0 \u00e8 responsabile delle violazioni commesse da coloro che agiscono per suo conto.<\/p>\n\n\n\n
“La multa non richiede alcuna azione o conoscenza da parte dell’organo amministrativo dell’azienda<\/p>\n\n\n\n
Per “minimizzare i rischi di responsabilit\u00e0” in futuro, le aziende dovranno “garantire che i dipendenti ricevano istruzioni pi\u00f9 chiare sulla protezione dei dati e che queste siano attentamente monitorate”<\/p>\n\n\n\n
La sanzione inflitta al gruppo di imprese<\/h3>\n\n\n\n
Nel caso in cui il destinatario della sanzione pecuniaria sia parte di un gruppo di societ\u00e0, l’importo dell’ammenda deve essere calcolato in base al fatturato dell’intero gruppo. <\/p>\n\n\n\n
L’effettivo responsabile della violazione <\/h3>\n\n\n\n
Inoltre, l’imposizione di una sanzione amministrativa pecuniaria a una persona giuridica in qualit\u00e0 di titolare del trattamento non pu\u00f2 essere condizionata dalla previa constatazione che tale violazione sia stata commessa da una persona fisica identificata.<\/p>\n\n\n\n
Un titolare del trattamento pu\u00f2 essere sanzionato anche per le operazioni effettuate da un subappaltatore, a condizione che tali operazioni possano essere attribuite al titolare stesso. <\/p>\n\n\n\n
Inoltre, la Corte precisa che quando il titolare del trattamento \u00e8 una persona giuridica, non \u00e8 necessario che la violazione sia stata commessa da un suo organo amministrativo o che quest’ultimo ne sia stato a conoscenza.<\/p>\n\n\n\n
Nel caso delle persone giuridiche, la societ\u00e0 \u00e8 responsabile sia se la violazione \u00e8 stata commessa dai suoi rappresentanti, direttori o amministratori, sia nel caso in cui sia commessa da chiunque agisca nel contesto della sua attivit\u00e0 commerciale o per suo conto. <\/p>\n\n\n\n
Non \u00e8 necessario identificare preventivamente la persona fisica responsabile della violazione.<\/p>\n\n\n\n
L’ipotesi di contitolarit\u00e0 <\/h3>\n\n\n\n
E riguardo alla contitolarit\u00e0 di due o pi\u00f9 enti, la Corte precisa che questa deriva semplicemente dal fatto che tali enti abbiano partecipato alla determinazione delle finalit\u00e0 e dei mezzi del trattamento. <\/p>\n\n\n\n
La qualifica di “contitolari” non presuppone l’esistenza di un accordo formale tra gli enti coinvolti. <\/p>\n\n\n\n
\u00c8 necessaria una decisione condivisa, cos\u00ec come decisioni che convergano.<\/p>\n\n\n\n
Nel caso in cui due o pi\u00f9 enti siano co-titolari, tale situazione deriva semplicemente dal fatto che tali enti hanno partecipato alla definizione degli obiettivi e dei metodi di trattamento.<\/p>\n\n\n\n
“\u00c8 sufficiente una decisione comune, cos\u00ec come alcune decisioni convergenti”.<\/p>\n\n\n\n
Inoltre, \u00e8 importante precisare che se si tratta effettivamente di contitolari, questi ultimi devono stabilire di comune accordo i loro rispettivi obblighi.<\/p>\n\n\n\n
Il calcolo della sanzione <\/h3>\n\n\n\n
Per quanto riguarda il calcolo delle sanzioni pecuniarie per le imprese, l’autorit\u00e0 di controllo deve fare riferimento alla definizione di “impresa” nel diritto della concorrenza. <\/p>\n\n\n\n
Di conseguenza, l’importo massimo delle sanzioni pecuniarie deve essere calcolato come una percentuale del fatturato annuo mondiale dell’anno precedente dell’impresa interessata, considerando l’intera entit\u00e0 dell’impresa.<\/p>\n\n\n\n
Per poter irrogare una sanzione, secondo la Corte, \u00e8 necessario che vi sia un comportamento illecito, attribuibile a dolo o colpa. Nel caso in cui il destinatario della sanzione pecuniaria sia parte di un gruppo di societ\u00e0, l’importo da pagare sar\u00e0 calcolato considerando il fatturato dell’intero gruppo.<\/p>\n\n\n\n
Conclusioni <\/h3>\n\n\n\n
Questa decisione della CGUE rappresenta un punto di svolta nell’applicazione del GDPR e nella definizione della responsabilit\u00e0 aziendale. Mette in evidenza l’importanza per le aziende di adottare misure adeguate per garantire la conformit\u00e0 al GDPR, poich\u00e9 possono essere direttamente sanzionate senza dover identificare un colpevole individuale all’interno dell’organizzazione. La sentenza ribadisce inoltre il principio secondo cui la protezione dei dati personali \u00e8 una responsabilit\u00e0 che grava su tutte le entit\u00e0 coinvolte nel trattamento dei dati.
<\/p>\n\n\n\n
DW ha impugnato la sanzione, portando il caso davanti al tribunale regionale di Berlino. Successivamente, la Procura di Berlino ha presentato ricorso al Tribunale regionale superiore, che ha sollevato questioni pregiudiziali alla CGUE per chiarire l’interpretazione dell’articolo 83 GDPR.<\/p>\n\n\n\n
L’applicazione diventa operativa ad aprile e rimane attiva fino a maggio 2020, con 3802 utenti che condividono dati sensibili come identit\u00e0 e posizione geografica.<\/p>\n\n\n\n
Il 10 aprile, il CNSP \u00e8 incaricato di formalizzare l’acquisizione dell’app da ITSS, ma non viene stipulato alcun contratto pubblico, lasciando l’acquisto in una zona grigia legale.<\/p>\n\n\n\n
Il finanziamento cade attraverso, come rivelato in una comunicazione del 4 giugno, mettendo fine a qualsiasi processo di appalto in corso.<\/p>\n\n\n\n
Indagine e Sanzioni della DPA<\/strong><\/h4>\n\n\n\nIl 18 maggio, la DPA inizia un’indagine sull’app e il trattamento dei dati raccolti, scoprendo violazioni multiple del GDPR.<\/p>\n\n\n\n
Le Sanzioni<\/h4>\n\n\n\n
Il 24 febbraio 2021, la DPA impone sanzioni pecuniarie sia al CNSP che a ITSS per un totale di 15.000 euro per non conformit\u00e0 al GDPR.<\/p>\n\n\n\n
Ricorso al Tribunale<\/h4>\n\n\n\n
Il CNSP contesta la decisione della DPA, portando il caso al Tribunale amministrativo regionale di Vilnius e sollevando questioni sull’interpretazione del ruolo di “responsabile del trattamento”.<\/p>\n\n\n\n
Questioni Pregiudiziali alla CGUE<\/h4>\n\n\n\n
Il tribunale sospende il caso e presenta domande pregiudiziali alla Corte di Giustizia dell’Unione Europea (CGUE), cercando chiarimenti su definizioni chiave e responsabilit\u00e0 nel GDPR.<\/p>\n\n\n\n
La sentenza della Corte di Giustizia EU. <\/h3>\n\n\n\n
Solo una violazione intenzionale o negligente del regolamento generale sulla protezione dei dati pu\u00f2 comportare l’imposizione di una sanzione amministrativa pecuniaria. <\/p>\n\n\n\n
Secondo la Corte di Giustizia, \u00e8 possibile infliggere una sanzione amministrativa pecuniaria per violazione del RGPD solo se tale violazione \u00e8 stata commessa in modo illecito, cio\u00e8 intenzionalmente o per negligenza. <\/p>\n\n\n\n
La violazione intenzionale o per negligenza del regolamento si verifica quando il titolare non pu\u00f2 ignorare la illiceit\u00e0 del proprio comportamento, indipendentemente dalla consapevolezza dell’infrazione.<\/p>\n\n\n\n
La colpa o il dolo rilevanti<\/h3>\n\n\n\n
L’illecito si verifica quando il responsabile del trattamento non poteva ignorare la sua condotta illecita, indipendentemente dal fatto che fosse a conoscenza o meno della violazione.<\/p>\n\n\n\n
Quando una persona giuridica \u00e8 il titolare del trattamento, non \u00e8 necessario che la violazione sia stata commessa da uno dei suoi organi amministrativi o che tale organo ne abbia avuto conoscenza. Una persona giuridica \u00e8 responsabile sia delle violazioni commesse dai suoi rappresentanti, direttori o amministratori, sia di quelle commesse da chiunque agisca nell’ambito della sua attivit\u00e0 commerciale o per suo conto.<\/p>\n\n\n\n
Solo una violazione intenzionale o negligente del regolamento generale sulla protezione dei dati pu\u00f2 comportare l’imposizione di una sanzione amministrativa pecuniaria. Questa \u00e8 l’affermazione della Corte UE contenuta nelle sentenze C-683\/21 e C-807\/21, in cui i giudici precisano anche che se il destinatario della sanzione pecuniaria fa parte di un gruppo di societ\u00e0, la sanzione deve essere calcolata in base al fatturato del gruppo.<\/p>\n\n\n\n
La storica decisione odierna della Corte di Giustizia dell’Unione Europea sulle sanzioni amministrative GDPR rafforza l’applicazione del GDPR dell’UE, riducendo i requisiti per l’imposizione di sanzioni alle persone giuridiche. <\/p>\n\n\n\n
Secondo la decisione odierna, ai titolari del trattamento pu\u00f2 essere inflitta una sanzione per violazione quando la violazione \u00e8 stata commessa in modo illegittimo, ovvero intenzionalmente o per negligenza.<\/p>\n\n\n\n
Inoltre, il titolare del trattamento potrebbe essere soggetto a una sanzione “per le operazioni svolte da un responsabile del trattamento, nella misura in cui il titolare del trattamento pu\u00f2 essere considerato responsabile di tali operazioni”.<\/p>\n\n\n\n
L’ignoranza della legge non scusa <\/h3>\n\n\n\n
Anche l’ignoranza della violazione non pu\u00f2 essere considerata una scusa, poich\u00e9 la societ\u00e0 \u00e8 responsabile delle violazioni commesse da coloro che agiscono per suo conto.<\/p>\n\n\n\n
“La multa non richiede alcuna azione o conoscenza da parte dell’organo amministrativo dell’azienda<\/p>\n\n\n\n
Per “minimizzare i rischi di responsabilit\u00e0” in futuro, le aziende dovranno “garantire che i dipendenti ricevano istruzioni pi\u00f9 chiare sulla protezione dei dati e che queste siano attentamente monitorate”<\/p>\n\n\n\n
La sanzione inflitta al gruppo di imprese<\/h3>\n\n\n\n
Nel caso in cui il destinatario della sanzione pecuniaria sia parte di un gruppo di societ\u00e0, l’importo dell’ammenda deve essere calcolato in base al fatturato dell’intero gruppo. <\/p>\n\n\n\n
L’effettivo responsabile della violazione <\/h3>\n\n\n\n
Inoltre, l’imposizione di una sanzione amministrativa pecuniaria a una persona giuridica in qualit\u00e0 di titolare del trattamento non pu\u00f2 essere condizionata dalla previa constatazione che tale violazione sia stata commessa da una persona fisica identificata.<\/p>\n\n\n\n
Un titolare del trattamento pu\u00f2 essere sanzionato anche per le operazioni effettuate da un subappaltatore, a condizione che tali operazioni possano essere attribuite al titolare stesso. <\/p>\n\n\n\n
Inoltre, la Corte precisa che quando il titolare del trattamento \u00e8 una persona giuridica, non \u00e8 necessario che la violazione sia stata commessa da un suo organo amministrativo o che quest’ultimo ne sia stato a conoscenza.<\/p>\n\n\n\n
Nel caso delle persone giuridiche, la societ\u00e0 \u00e8 responsabile sia se la violazione \u00e8 stata commessa dai suoi rappresentanti, direttori o amministratori, sia nel caso in cui sia commessa da chiunque agisca nel contesto della sua attivit\u00e0 commerciale o per suo conto. <\/p>\n\n\n\n
Non \u00e8 necessario identificare preventivamente la persona fisica responsabile della violazione.<\/p>\n\n\n\n
L’ipotesi di contitolarit\u00e0 <\/h3>\n\n\n\n
E riguardo alla contitolarit\u00e0 di due o pi\u00f9 enti, la Corte precisa che questa deriva semplicemente dal fatto che tali enti abbiano partecipato alla determinazione delle finalit\u00e0 e dei mezzi del trattamento. <\/p>\n\n\n\n
La qualifica di “contitolari” non presuppone l’esistenza di un accordo formale tra gli enti coinvolti. <\/p>\n\n\n\n
\u00c8 necessaria una decisione condivisa, cos\u00ec come decisioni che convergano.<\/p>\n\n\n\n
Nel caso in cui due o pi\u00f9 enti siano co-titolari, tale situazione deriva semplicemente dal fatto che tali enti hanno partecipato alla definizione degli obiettivi e dei metodi di trattamento.<\/p>\n\n\n\n
“\u00c8 sufficiente una decisione comune, cos\u00ec come alcune decisioni convergenti”.<\/p>\n\n\n\n
Inoltre, \u00e8 importante precisare che se si tratta effettivamente di contitolari, questi ultimi devono stabilire di comune accordo i loro rispettivi obblighi.<\/p>\n\n\n\n
Il calcolo della sanzione <\/h3>\n\n\n\n
Per quanto riguarda il calcolo delle sanzioni pecuniarie per le imprese, l’autorit\u00e0 di controllo deve fare riferimento alla definizione di “impresa” nel diritto della concorrenza. <\/p>\n\n\n\n
Di conseguenza, l’importo massimo delle sanzioni pecuniarie deve essere calcolato come una percentuale del fatturato annuo mondiale dell’anno precedente dell’impresa interessata, considerando l’intera entit\u00e0 dell’impresa.<\/p>\n\n\n\n
Per poter irrogare una sanzione, secondo la Corte, \u00e8 necessario che vi sia un comportamento illecito, attribuibile a dolo o colpa. Nel caso in cui il destinatario della sanzione pecuniaria sia parte di un gruppo di societ\u00e0, l’importo da pagare sar\u00e0 calcolato considerando il fatturato dell’intero gruppo.<\/p>\n\n\n\n
Conclusioni <\/h3>\n\n\n\n
Questa decisione della CGUE rappresenta un punto di svolta nell’applicazione del GDPR e nella definizione della responsabilit\u00e0 aziendale. Mette in evidenza l’importanza per le aziende di adottare misure adeguate per garantire la conformit\u00e0 al GDPR, poich\u00e9 possono essere direttamente sanzionate senza dover identificare un colpevole individuale all’interno dell’organizzazione. La sentenza ribadisce inoltre il principio secondo cui la protezione dei dati personali \u00e8 una responsabilit\u00e0 che grava su tutte le entit\u00e0 coinvolte nel trattamento dei dati.
<\/p>\n\n\n\n
L’illecito si verifica quando il responsabile del trattamento non poteva ignorare la sua condotta illecita, indipendentemente dal fatto che fosse a conoscenza o meno della violazione.<\/p>\n\n\n\n
E riguardo alla contitolarit\u00e0 di due o pi\u00f9 enti, la Corte precisa che questa deriva semplicemente dal fatto che tali enti abbiano partecipato alla determinazione delle finalit\u00e0 e dei mezzi del trattamento. <\/p>\n\n\n\n
Per quanto riguarda il calcolo delle sanzioni pecuniarie per le imprese, l’autorit\u00e0 di controllo deve fare riferimento alla definizione di “impresa” nel diritto della concorrenza. <\/p>\n\n\n\n
<\/p>\n\n\n\n
![\"\"](\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2023\/12\/image-3.png\")
<\/figure>\n","protected":false},"excerpt":{"rendered":"