Austria: Sviluppi della giurisprudenza austriaca: Violazioni della privacy e GDPR

In una recente decisione del 26.11.2020^[1], il Tribunale amministrativo federale austriaco (Bundesverwaltungsgericht, BVwG) ha annullato una multa di 18 milioni di euro inflitta all'Austrian Postal Service (APS) dall'autorità austriaca per la protezione dei dati (DPA). Il caso si basa sugli stessi fatti presi in considerazione dal BVwG in una decisione separata^[2]. In quella sede, la Corte ha confermato la sanzione amministrativa inflitta dal DPA all'APS, accusata di aver trattato e venduto illegalmente a terzi, a fini di marketing, dati personali dei clienti, come indirizzi privati e presunte appartenenze politiche.

Nella decisione in questione, il BVwG ha riconosciuto la natura illecita della condotta di APS, ma ha annullato la sanzione della DPA, sulla base dell'omissione dell'accertamento della responsabilità delle persone fisiche e giuridiche, che hanno agito per conto di APS, per la colpa in questione.

I fatti

Le origini fattuali del caso risalgono a un rapporto della piattaforma giornalistica Addendum del gennaio 2019^[3], in cui si affermava che, oltre alle informazioni su indirizzi privati, sesso ed età, istruzione e preferenze in materia di investimenti o donazioni, APS aveva anche raccolto dati sull'orientamento politico percepito di circa 3 milioni di clienti^[4].

A seguito di un'indagine d'ufficio, la DPA:

• ha concluso che l'indagine su fattori sociodemografici e l'elaborazione di informazioni sulle preferenze politiche di un individuo senza alcuna base giuridica si qualifica come una categoria speciale di dati personali ai sensi dell'articolo 9, paragrafo 1, del regolamento generale sulla protezione dei dati (regolamento (UE) 2016/679) (GDPR), che richiede quindi la previa approvazione esplicita da parte dell'interessato (articolo 9, paragrafo 2, lettera a), del GDPR; articolo 151, paragrafo 4, della Gewerbeordnung, GewO);
• ha ordinato la cessazione del trattamento dei dati e la cancellazione delle informazioni già raccolte entro un termine di due settimane;
• Ritenuto che la Procura non abbia condotto un'adeguata valutazione d'impatto sulla protezione dei dati (prima del 25.05.2018), in quanto ha erroneamente omesso di considerare l'affiliazione politica come una categoria speciale di dati personali.

La Procura ha risposto in appello, sostenendo che le informazioni sull'affinità politica di un privato non si qualificano come dati personali, dato che tali informazioni sono raccolte attraverso sondaggi anonimi che forniscono proiezioni generali. Poiché questi calcoli probabilistici non possono essere rettificati (articolo 16 del GDPR), sono considerati informazioni di marketing e classificazione ai sensi dell'articolo 151, paragrafo 6, del GewO. Tuttavia, è stato aggiunto che, anche se considerati come dati personali, non si qualificano come categoria speciale.

Recentemente, a novembre, il BVwG ha confermato la decisione dell'autorità di protezione dei dati e ha ritenuto che il trattamento dei dati relativi all'affinità con un partito politico fosse da considerarsi un dato personale ai sensi dell'articolo 4, paragrafo 1, del GDPR. Dato che le informazioni ottenute potrebbero essere assegnate a una persona fisica specificamente identificabile, le cui convinzioni politiche devono essere protette dalla discriminazione ai sensi dell'articolo 9 del GDPR, devono essere trattate come una categoria speciale di dati personali, richiedendo quindi un consenso preventivo. Questa parte della decisione è ora pendente davanti alla Corte amministrativa suprema austriaca (Verwaltungsgerichtshof, VwGH).

La questione esaminata in questo articolo, tuttavia, riguarda un aspetto giuridico diverso dello stesso caso.

Sulla base dei fatti sopra descritti, il caso è incentrato sulla presunta violazione da parte dell'APS degli articoli 5(1), 6(2), 6(4), 9, 14, 30, 35 e 36 del GDPR. Il caso fa seguito a un ricorso presentato dall'APS basato sull'argomentazione che la multa era stata emessa senza che fosse stata accertata la colpevolezza delle persone fisiche che avevano agito per suo conto (articolo 4, paragrafo 7, del GDPR).

Di seguito ci si concentrerà sulla recente decisione del BVwG di annullare l'ammenda della DPA alla luce delle precedenti conclusioni del VwGH. La Corte ha ritenuto che il presunto comportamento fattuale, illegale e colpevole debba essere attribuibile anche a una persona fisica (articolo 44a VStG) affinché una persona giuridica possa essere ritenuta responsabile.^[5]

Il problema

Poiché il GDPR intende, e di fatto prevede, la responsabilità diretta delle persone giuridiche senza dover dimostrare l'illecito individuale di un privato, il BVwG ha dovuto valutare quanto segue:

1. se l'autorità di protezione dei dati avesse il diritto di imporre un'ammenda ai sensi dell'articolo 83 del GDPR a una persona giuridica in assenza della dimostrazione di un comportamento colpevole da parte di una persona fisica che agisce per conto di una persona giuridica;

2. se le norme nazionali di diritto penale amministrativo trovino applicazione o se la questione in esame debba essere esaminata alla luce delle norme del GDPR.

La decisione

La Corte ha ritenuto che l'ammenda del DPA, imposta sulla base delle disposizioni dell'articolo 83 del GDPR, rientri nelle disposizioni della legge penale amministrativa austriaca (Verwaltungsstrafgesetz, VStG) e della legge austriaca sulla protezione dei dati (Datenschutzgesetz, DSG). Le norme procedurali nazionali sono applicabili nel contesto delle ammende inflitte a causa di una violazione del GDPR, poiché l'articolo 83, paragrafo 8, stabilisce che: "L'esercizio dei poteri dell'autorità di controllo [...] è soggetto ad adeguate garanzie procedurali conformemente al diritto dell'Unione e degli Stati membri, compresi un ricorso giurisdizionale effettivo e un giusto processo"^[6].

Ha inoltre stabilito che la DPA non ha agito in conformità ai §§ 44a, 45 VStG e al § 30 DSG, omettendo di provare la colpevolezza delle persone fisiche che hanno agito per conto dell'APS, come le persone che rappresentano, esercitano il controllo o prendono decisioni per conto di quest'ultima.

Osservazioni

Sebbene la sanzione inflitta all'APS sia stata annullata dal BVwG, la sua decisione si basa su un errore di forma da parte del DPA. In quanto tale, deve essere trattata separatamente e non è in contrasto con la precedente sentenza del BVwG, in cui si concludeva che la condotta di trattamento dei dati relativi all'affinità personale per un partito politico dà luogo a responsabilità.

Risorse

1. Numero di protocollo: Numero di protocollo W258 2217446-1/14E. Disponibile tramite: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00
2. Numero di protocollo: Numero di protocollo W258 2217446-1/35E. Disponibile tramite: https: //www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.
3. "Wenn Die Post Partei Ergreift." Addendum, 28 luglio 2020, www.addendum.org/datenhandel/parteiaffinitaet/ [visitato il 10.12.2020].
4. Per ulteriori informazioni si rimanda ai comunicati stampa delle Poste austriache intitolati "Pietre miliari e prospettive per il 2019 e il 2020" (29.10.2019) e del Comitato europeo per la protezione dei dati intitolati "Procedimento penale amministrativo dell'autorità austriaca per la protezione dei dati contro Österreichische Post AG (23.10.2019), disponibili all'indirizzo: https: //edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.
5. Numero di pratica R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.
6. "Art. 83 GDPR - Condizioni generali per l'imposizione di sanzioni amministrative", Regolamento generale sulla protezione dei dati (GDPR), 29 marzo 2018, gdpr-info.eu/art-83-gdpr/ [visitato il 14.12.2020].

Il contenuto di questo articolo intende fornire una guida generale all'argomento. È necessario richiedere una consulenza specialistica in merito alla propria situazione specifica.