data-breach-piu-facili

La Corte di Giustizia dell’Unione Europea, nelle sentenze C-683/21 e C-807/21, ha emesso un giudizio storico che renderà più facile alle Autorità di protezione dei dati sanzionare i Data Breach e comporterà multe mediamente più elevate, dopodiché sono stati stabiliti i requisiti fondamentali per l’imposizione delle multe alle aziende per le violazioni del GDPR.

In particolare, la Corte stabilisce che l’imposizione delle sanzioni richiede che vi sia un comportamento illecito; ovvero, se la violazione è stata commessa intenzionalmente o per negligenza. In altre parole, nel caso in cui il Titolare non poteva ignorare la natura illecita della sua condotta, indipendentemente dal fatto che fosse o meno a conoscenza della violazione.

Inoltre, si definisce che, nel caso in cui il Titolare sia una persona giuridica, non è necessario che la violazione sia stata commessa dal suo organo di gestione o amministrazione, né tanto meno che quest’ultimo fosse a conoscenza della violazione. Al contrario, una persona giuridica è responsabile sia delle violazioni commesse dai suoi rappresentanti, amministratori o dirigenti, sia di quelle commesse da qualsiasi altra persona che agisca nel corso dell’attività della persona giuridica e per suo conto.

Data Breach e Contitolarità

Per quanto riguarda il controllo congiunto da parte di due o più entità, la Corte chiarisce che tale controllo deriva unicamente dal fatto che tali entità hanno partecipato alla determinazione delle finalità e dei mezzi del trattamento. Infatti, sottolinea che la classificazione come “contitolari del trattamento” non richiede l’esistenza di un accordo formale tra le entità in questione, ma che una decisione comune è sufficiente. Tuttavia, nel caso in cui vi siano effettivamente dei contitolari del trattamento, essi devono determinare le loro responsabilità specifiche mediante un accordo tra di loro.

Infine, per quanto riguarda il calcolo, se il destinatario della sanzione fa parte di un gruppo di società, deve basarsi sul fatturato dell’intero gruppo.

Il pronunciamento a livello europeo è il risultato delle richieste di indicazione sulle condizioni per sanzionare due Titolari del trattamento fatte dai due tribunali nazionali di Lituania e Germania. Riguardo il caso tedesco, il Data Breach è stato manifestato in una società immobiliare. Nel caso della Lituania, invece, la violazione è stata commessa dal Centro nazionale di sanità pubblica del Ministero della Salute a causa di un’applicazione mobile per la registrazione e il monitoraggio dei dati delle persone esposte al COVID-19.

Fonte: curia.europa.eu

 

Link alle sentenze:

C-683/21:    https://curia.europa.eu/juris/documents.jsf?num=C-683/21

C-807/21:    https://curia.europa.eu/juris/documents.jsf?num=C-807/21

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!