La recente pronuncia dell’Avvocato generale della Corte di Giustizia europea del 12 settembre 2024, resa nella causa C-383/23, ha chiarito che, in caso di violazione delle norme in tema di privacy commessa da una società del gruppo, il calcolo della sanzione concretamente applicabile può includere il fatturato globale del gruppo economico di appartenenza, ma solo in presenza di alcune circostanze specifiche che caratterizzano il caso concreto.
In particolare, al fine di garantire il rispetto dei principi di dissuasività e di proporzionalità delle sanzioni affermati dal GDPR, nella determinazione della sanzione pecuniaria da applicare occorre valutare se, nell’ipotesi di specie, la Società madre abbia esercitato un’influenza o un controllo sulle attività della società coinvolta nella violazione del GDPR e se in tale violazione sia implicata la sola società oppure molteplici società del gruppo: in caso affermativo, se il data breach rilevato risulta essere frutto di una strategia comune del gruppo, sarà possibile tenere conto, nell’applicazione della sanzione, del fatturato globale del gruppo economico di imprese.
