In una recente decisione resa il 26.11.2020,¹ la Corte amministrativa federale austriaca (Bundesverwaltungsgericht(BVwG) ha annullato una multa di 18 milioni di euro che era stata inflitta al servizio postale austriaco (APS) dall'autorità austriaca per la protezione dei dati (DPA). Il caso è incentrato sugli stessi fatti considerati dal BVwG in una decisione separata.² In questo caso la Corte ha confermato la sanzione amministrativa della DPA contro l'APS, che era stata accusata di trattare e vendere illegalmente i dati personali dei clienti, come indirizzi privati e presunte fedeltà politiche, a terzi per scopi di marketing.

Nella decisione in questione, il BVwG ha riconosciuto il carattere illecito della condotta di APS, ma ha annullato la sanzione della DPA, sulla base della sua omissione di stabilire che sia le persone giuridiche che quelle fisiche, che agivano per conto di APS, erano state responsabili della colpevolezza in questione.

Fatti

Le origini fattuali del caso risalgono a un rapporto della piattaforma di giornalismo Addendum nel gennaio 2019,³ affermando che oltre alle informazioni sugli indirizzi privati, il sesso e l'età, l'istruzione e le preferenze in materia di investimenti o donazioni, l'APS aveva anche raccolto dati sulle inclinazioni politiche percepite di circa 3 milioni di clienti.⁴

A seguito di un'indagine d'ufficio, la DPA:

• Ha concluso che la condotta di indagare su fattori sociodemografici e di trattare le informazioni relative alle preferenze politiche di un individuo senza alcuna base giuridica, si qualifica come una categoria speciale di dati personali ai sensi dell'articolo 9, paragrafo 1, del regolamento generale sulla protezione dei dati (regolamento (UE) 2016/679) (GDPR), richiedendo così la previa approvazione esplicita dell'interessato (articolo 9, paragrafo 2, lettera a), GDPR; § 151, paragrafo 4) Gewerbeordnung, GewO);

• Ha ordinato di terminare il trattamento dei dati e di cancellare le informazioni già raccolte entro un termine di due settimane;

• Ritenuto che l'APS non ha condotto un'adeguata valutazione d'impatto sulla protezione dei dati (prima del 25.05.2018), in quanto ha erroneamente omesso di considerare l'affiliazione politica come una categoria speciale di dati personali.

L'APS ha risposto con un ricorso, sostenendo che le informazioni sull'affinità politica di un individuo privato non si qualificano come dati personali, dato che tali informazioni sono raccolte attraverso sondaggi anonimizzati che forniscono proiezioni generali. Poiché questi calcoli di probabilità non possono essere rettificati (articolo 16 GDPR), sono considerati informazioni di marketing e classificazione ai sensi del §151(6) GewO. Tuttavia, è stato aggiunto che anche se considerato come dati personali, non si è qualificato come una categoria speciale quest'ultimo.

Nel novembre scorso, il BVwG ha confermato la decisione dell'autorità di protezione dei dati e ha dichiarato che la condotta di trattamento dei dati sull'affinità per un partito politico si qualifica come dati personali ai sensi dell'articolo 4, paragrafo 1, del GDPR. Dato che le informazioni ottenute potrebbero essere assegnate a una persona privata specificamente identificabile, le cui convinzioni politiche devono essere protette dalla discriminazione ai sensi dell'articolo 9 GDPR, devono essere trattate come una categoria speciale di dati personali, richiedendo quindi un consenso preventivo. Questa parte della decisione è ora pendente davanti al Corte amministrativa suprema austriaca (Verwaltungsgerichtshof, VwGH).

La questione considerata in questo articolo, tuttavia, riguarda un diverso aspetto giuridico dello stesso caso.

Sulla base dei fatti sopra descritti, il caso è incentrato sulla presunta violazione da parte dell'APS degli articoli 5(1), 6(2), 6(4), 9, 14, 30, 35 e 36 GDPR. Fa seguito a un ricorso presentato dall'APS basato sull'argomento che l'ammenda era stata emessa senza stabilire la colpevolezza delle persone fisiche che agiscono per suo conto (articolo 4, paragrafo 7, GDPR).

Quanto segue si concentrerà sulla recente decisione del BVwG di annullare la multa della DPA alla luce delle precedenti conclusioni del VwGH. Lì la Corte ha affermato che il presunto comportamento di fatto, illegale e colposo deve essere attribuibile anche a una persona fisica (sezione 44a VStG) perché una persona giuridica possa essere ritenuta responsabile.⁵

Il numero

Dal momento che il GDPR intende e in effetti prevede la responsabilità diretta delle persone giuridiche senza dover provare un illecito individuale da parte di una persona privata, il BVwG ha dovuto considerare quanto segue:

1. Se l'autorità di protezione dei dati avesse il diritto di imporre una multa ai sensi dell'articolo 83 del GDPR a una persona giuridica in assenza di una condotta colposa da parte di una persona fisica che agisce per conto di una persona giuridica;

2. Se le norme di diritto penale amministrativo nazionale trovano applicazione o se la questione in esame deve essere esaminata alla luce delle norme del GDPR.

Decisione

La Corte ha ritenuto che la multa della DPA, imposta sulla base delle disposizioni dell'articolo 83 del GDPR, rientri nelle disposizioni della legge penale amministrativa austriaca (Verwaltungsstrafgesetz, VStG) così come la legge austriaca sulla protezione dei dati (DatenschutzgesetzDSG). Le norme procedurali nazionali sono applicabili nel contesto delle multe imposte a causa di una violazione ai sensi del GDPR poiché l'articolo 83, paragrafo 8, afferma che: "L'esercizio da parte dell'autorità di controllo dei suoi poteri [...] è soggetto ad adeguate garanzie procedurali conformemente al diritto dell'Unione e degli Stati membri, compresi un ricorso giurisdizionale effettivo e un giusto processo.⁶

Ha inoltre stabilito che la DPA ha omesso di agire conformemente ai §§ 44a, 45 VStG e 30 DSG trascurando di provare la colpevolezza delle persone fisiche che hanno agito per conto dell'APS, come le persone che rappresentano, esercitano il controllo o prendono decisioni per conto di quest'ultima.

Commento

Sebbene la sanzione inflitta all'APS sia stata ribaltata dal BVwG, la sua decisione si basa su un errore di formalità da parte dell'APS. Come tale, deve essere trattata separatamente e non è in contrasto con la precedente sentenza della BVwG, in cui si è concluso che il comportamento di trattamento dei dati relativi all'affinità personale per un partito politico dà luogo a responsabilità.

Note a piè di pagina

1 Numero di docket: Numero di docket W258 2217446-1/14E. Disponibile tramite: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=
True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=
&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum
=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00.

2 Numero di docket: Numero di docket W258 2217446-1/35E. Disponibile tramite: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=
Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=
&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=
&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.

3 "Wenn Die Post Partei Ergreift". Addendum, 28 luglio 2020, www.addendum.org/datenhandel/parteiaffinitaet/ [consultato il 10.12.2020].

4 Per ulteriori informazioni si rimanda ai comunicati stampa sia delle poste austriache intitolati "Pietre miliari e prospettive per il 2019 e il 2020" (29.10.2019), sia dell'European Data Protection Board intitolati "Procedimento penale amministrativo dell'autorità austriaca per la protezione dei dati contro Österreichische Post AG (23.10.2019), disponibili via: https://edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.

5 Numero di docket R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.

6 "Art. 83 GDPR - Condizioni generali per l'imposizione di sanzioni amministrative". Regolamento generale sulla protezione dei dati (GDPR), 29 mar. 2018, gdpr-info.eu/art-83-gdpr/ [consultato il 14.12.2020].

Il contenuto di questo articolo intende fornire una guida generale all'argomento. Si consiglia di richiedere una consulenza specialistica sulle vostre circostanze specifiche.