Arriva dall’Austria una notizia molto importante in ottica GDPR e sanzioni, con notevoli risvolti pratici nei rapporti tra società controllanti e società controllate.
È notizia degli ultimi giorni, infatti, che l’Autorità austriaca per la protezione dei dati (DPA) ha multato la holding di un gruppo della grande distribuzione, in seguito alle ripetute violazioni del GDPR da parte di una sua filiale. La novità riguarda principalmente il fatto che la sanzione ha colpito direttamente la capogruppo, in applicazione di un principio non del tutto lontano dal concetto di responsabilità oggettiva.
Ricostruendo in breve la vicenda, il Garante per la protezione dei dati personali austriaco ha deciso di sanzionare, con una multa di ben 8 milioni di euro, la holding a capo di una nota catena di supermercati tedesca, a causa proprio delle ripetute condotte illecite poste in essere da una sua controllata e riconducibili in particolare al programma di fidelizzazione della clientela adottato in Austria.
La contestazione ha riguardato in particolare le informative dei moduli di iscrizione per ricevere le cosiddette carte fedeltà, che, secondo l’Autorità, non indicavano con chiarezza agli utenti le modalità di trattamento dei loro dati.
Secondo la DPA non veniva, infatti, adeguatamente evidenziato ai consumatori che, prestando il consenso, sarebbero stati soggetti alla profilazione online, in palese violazione del principio di trasparenza previsto dall’art. 5 del GDPR.
Con questa decisione si è delineata in maniera netta una maggiore responsabilità per le holding, stabilendo il principio per cui le società madri potranno essere ritenute responsabili del modo in cui le proprie sussidiarie gestiranno i dati acquisiti dai clienti.
Quest’orientamento segue una tendenza europea sempre più crescente nell’ambito della tutela dei consumatori, basata su un’interpretazione molto larga del concetto di accountability, che ha il chiaro intento di responsabilizzare sempre di più le grandi aziende e le holding.
D’altronde non era la prima volta che il gruppo in questione si scontrava con il GDPR. Lo scorso agosto, infatti, ad essere sanzionata sempre dalla DPA austriaca, con una multa di 2 milioni di euro, era stata la filiale proprio per gli stessi motivi, ma non essendo stato preso alcun provvedimento migliorativo in questi mesi, è stato ritenuto allora necessario un approccio diverso, coinvolgendo direttamente la capogruppo e prevedendo una multa ben più salata.
La capogruppo ha già fatto sapere che farà ricorso, sostenendo di non essere mai intervenuta nelle attività operative della propria controllata, che avrebbe perciò agito come una società separata, giuridicamente ed economicamente indipendente.
Secondo diversi giuristi però difficilmente la spunterà.
La decisione del Garante austriaco per la protezione dei dati personali, infatti, rappresenta per molti un precedente importante che influenzerà anche le altre Autorità europee, comportando un netto cambio di atteggiamento da parte delle grandi aziende nei propri rapporti con le società controllate.
Questa pronuncia s’inserisce d’altronde in un filone giurisprudenziale in continua evoluzione. Secondo la giurisprudenza europea, infatti, una società madre può essere ritenuta responsabile delle attività di una controllata nel caso in cui eserciti “un’influenza decisiva” sulla stessa. Come è facilmente intuibile, il criterio in questione si apre però a più interpretazioni e bisognerebbe verificare di volta in volta, caso per caso, il grado di influenza della capogruppo nelle scelte delle proprie controllate, con l’onere della prova che ricade ovviamente sulle company.
Inoltre, quando si tratta di responsabilità e multe, il GDPR prende in considerazione le imprese nel loro complesso, secondo un principio ormai consolidatosi nel tempo, mettendo spesso in secondo piano la distinzione tra società controllanti e società controllate, le quali seppur giuridicamente autonome rispondono comunque alle esigenze del gruppo.
Per questo motivo le capogruppo dovranno essere sempre più consapevoli delle attività delle proprie controllate, non potendo trascurare il monitoraggio e il controllo sull’utilizzo dei dati da parte di queste ultime. Per evitare brutte sorprese bisognerà garantire la conformità in tema di protezione dei dati da parte di tutte le società del gruppo.
L’art. 83 del Regolamento generale di protezione dei dati prevede poi che le sanzioni debbano essere “efficaci, proporzionate e dissuasive” e proprio per questo sono ancorate nella quantificazione ad una percentuale del fatturato delle imprese interessate. Alla luce di ciò, comprendiamo ancora meglio la vicenda austriaca, essendo stato necessario coinvolgere la società madre, in quanto la multa comminata alla società controllata (del valore di 2 milioni di euro) non aveva dissuaso quest’ultima dalla reiterazione dei comportamenti illeciti. La DPA ha ritenuto perciò di dover colpire la società madre, che presenta un fatturato più alto, comportando conseguentemente un notevole aumento della sanzione.
La vicenda avrà sicuramente echi significativi nei prossimi mesi e si preannuncia come una decisione apripista a cui potrebbero uniformarsi le varie Autorità europee, che hanno già dimostrato in passato di trovarsi spesso d’accordo.
Le società madri non potranno pertanto più sottovalutare l’operato delle proprie società controllate e dovranno assicurare, per evitare di incorrere in sanzioni importanti, che queste siano a tutti gli effetti compliant.
Per tutti questi motivi nei prossimi articoli vi terremo aggiornati sugli sviluppi interpretativi e sulla posizione che sarà chiamato a prendere il Garante della privacy italiano.
