Multa legittima solo a fronte di una violazione dolosa o colposa

Questo il paletto fissato dai giudici comunitari, i quali hanno precisato le condizioni in presenza delle quali le autorità nazionali di controllo possono infliggere una sanzione pecuniaria amministrativa a uno o più titolari del trattamento per violazione del regolamento generale sulla protezione dei dati. In particolare, l’imposizione di una siffatta sanzione presuppone un comportamento illecito, ossia che la violazione sia stata commessa in modo doloso o colposo. Inoltre, quando il destinatario della sanzione pecuniaria fa parte di un gruppo di società, il calcolo dell’ammenda deve basarsi sul fatturato del gruppo intero. Per poter parlare di violazione commessa in modo doloso o colposo, comunque, è necessario appurare che il titolare del trattamento non poteva ignorare l’illiceità del suo comportamento, a prescindere dal fatto che abbia avuto, o meno, cognizione dell’infrazione. E quando il titolare del trattamento è una persona giuridica, non è necessario che la violazione sia stata commessa da un suo organo amministrativo o che quest’organo ne abbia avuto conoscenza. Al contrario, una persona giuridica è responsabile sia delle violazioni commesse dai suoi rappresentanti, direttori o amministratori, sia di quelle commesse da chiunque agisca nel quadro della sua attività commerciale o per suo conto. (Sentenze del 5 dicembre 2023 della Corte di giustizia dell’Unione Europea)