di Vittorio Antion

L e colpe «privacy» di una società non ricadono sul gruppo di cui fa parte. La sanzione per una violazione della privacy, computata in percentuale sul fatturato, ha come base di calcolo il giro d’affari della singola impresa (e non quello del gruppo). A meno che la violazione della privacy non si collochi in una policy del gruppo. Sono queste le conseguenze operative desumibili dalle recenti pronunce del Garante della privacy, che, applicando le sanzioni pecuniarie per violazioni del Regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr), hanno ingiunto il pagamento di importi milionari a primari operatori italiani del settore dell’energia e delle telecomunicazioni. Ma, sulla carta, le cifre potevano essere di gran lunga superiori, dal momento che le norme del Gdpr sono interpretabili nel senso che bisognerebbe sempre fare riferimento, quale base di calcolo, al fatturato del gruppo. A spiegare le conseguenze pratiche dei provvedimenti dell’autorità garante è l’associazione «Persone & Privacy» (www.personeprivacy.eu), la quale ha analizzato le ricadute concrete dei provvedimenti n. 7 del 15 gennaio 2020, n. 231 e 232 dell’11 dicembre 2019. Così facendo il Garante, peraltro, del tutto coerentemente con il Gdpr, adegua il carico sanzionatorio, con l’effetto di mitigarlo, ma senza sminuire l’effetto disincentivante delle sanzioni stesse. Ma vediamo di illustrare i termini della questione. Il Gdpr, all’articolo 83, prevede per le violazioni della privacy commesse dalle imprese due fasce di sanzioni: a) fi no a 10 milioni di euro o fi no al 2% del fatturato mondiale totale annuo, se superiore (violazioni di adempimenti); fi no a 20 milioni di euro oppure fi no al 4% del fatturato mondiale totale annuo, se superiore (violazione di principi e diritti). Il problema riguarda il calcolo della sanzione in misura percentuale: un conto, infatti, è prendere a base il fatturato di una società e un altro conto (ben più salato) è prendere a base il fatturato di tutto il gruppo, di cui fa parte la società. L’interrogativo è, dunque, se bisogna considerare il gruppo o la singola società. Un’interpretazione è arrivata dalle Linee Guida n. 253/2017 del gruppo WP29 (che riuniva tutti i garanti europei della privacy): secondo questo indirizzo, rifacendosi alla nozione di impresa fornita dalla Corte di giustizia Ue, «il concetto di impresa va inteso come un’unità economica che può essere composta dall’impresa madre e da tutte le filiali coinvolte» e «un’impresa deve essere intesa quale unità economica che intraprende attività economiche/ commerciali, a prescindere dalla persona giuridica implicata». Questa lettura considera come base di calcolo il fatturato del gruppo e non solo quello della singola impresa. Il Garante, nei provvedimenti citati, ha, però, spiegato di aver fatto riferimento al fatturato della singola impresa, coinvolta nelle violazioni, e non a quello del complessivo gruppo. La conseguenza, ad esempio, è stata l’applicazione di una sanzione di 27,8 milioni, pari allo 0,2% del fatturato di una singola società, anziché una sanzione di 37,8 milioni, computando il fatturato di gruppo. Si noti che il massimo edittale (4%), riferito al fatturato della singola società, sarebbe arrivato a 556 milioni di euro, mentre, se riferito al fatturato di gruppo, sarebbe lievitato a 757 milioni. «La scelta del Garante è del tutto congrua e condivisibile», commenta Antonio Ciccia Messina, presidente di «Persone & Privacy», «in quanto lo stesso Gdpr distingue, all’articolo 4, l’impresa dal gruppo di imprese e la norma sulle sanzioni, l’articolo 83, a ben vedere, si riferisce alle imprese e non ai gruppi». Ma l’orientamento del Garante, secondo il presidente di «Persone & Privacy», «è anche apprezzabile da un punto di vista dell’equità, in quanto realizza il necessario bilanciamento fra diritti degli interessati e libertà di impresa; in un’ottica di prudenza, il Garante ha valutato l’impatto economico della sanzione sulle esigenze organizzative e occupazionali delle imprese».

Fonte: