L'accesso da parte della polizia ai dati personali contenuti in un telefono cellulare, nell'ambito di…
La normativa per la concorrenza UE modello per il GDPR? L’analisi di Laura Liguori e di Enzo Marasà
di Eduardo Meligrana
Parental liability e GDPR, quali rapporti? Il diritto della concorrenza UE rappresenta un modello per l’applicazione del GDPR?Il principio di “unicità economica dei gruppi di imprese” – in base al quale tutte le società o enti economici che sono soggetti ad un comune centro di controllo costituiscono una singola impresa ai fini delle regole antitrust – quali conseguenze applicativecomporta in materia di responsabilità delle imprese e di determinazione delle sanzioni? Come scongiurare i rischi per le imprese? Temi di grande complessità, non sempre ancora approfonditi, ma che rivestono sempre più un ruolo cruciale. A fornire le chiavi interpretative, Diritto Mercato Tecnologia si è rivolta agli avvocati Laura Liguori e Enzo Marasà, giuristi esperti che da anni si occupano di temi legati alla protezione dei dati personali, di diritto della concorrenza e diritto dell’UE.
Si parla di rischio di sanzioni pecuniarie molto severe alle imprese per violazione del nuovo Regolamento europeo sulla privacy (il GDPR): ci sono già esempi?
Il 21 gennaio scorso l’Autorità della Privacy francese (CNIL), ha emanato la prima severa sanzione per violazione delle nuove regole del GDPR (acronimo inglese di General Data Protection Regulation), segnatamente per 50 milioni di euro a Google LLC.
In particolare, il CNIL ha contestato a Google LLC le modalità con cui vengono fornite le informazioni relative ad i trattamenti di dati personali posti in essere dalla stessa, nonché quelle con cui viene raccolto il consenso degli interessati.
Inoltre, il CNIL ha rigettato la posizione di Google secondo cui, essendo Google Ireland lo stabilimento principale in Europa del gruppo, la contestazione (mossa da due gruppi di attivisti all’indomani della definitiva applicabilità del GDPR in Europa) avrebbe dovuto essere esaminata dalla competente autorità irlandese.
È una sanzione molto elevata. Da cosa dipende l’entità della sanzione? Se fosse stata sanzionata una controllata europea, la sanzione poteva essere inferiore? Quali sono i criteri di calcolo?
L’ammontare della sanzione può sembrare enorme a chi era abituato a considerare le infrazioni delle regole sulla privacy alla stregua di contravvenzioni relativamente non gravi. Tuttavia, bisogna considerare che l’art. 83 del GDPR, pienamente applicabile da maggio 2018, prevede che le sanzioni pecuniarie per le infrazioni delle principali regole possano arrivare al 4% del fatturato globale dell’impresa imputata (o a € 20 milioni, se il 4% del fatturato globale dell’impresa fosse inferiore a tale soglia).
Tra l’altro, parametrando le sanzioni pecuniarie al fatturato globale dell’impresa, il legislatore europeo ha inteso avvicinare l’efficacia deterrente e “afflittiva” della sanzione per infrazioni della privacy a quella prevista per le sanzioni “antitrust” (cioè per violazione delle regole di concorrenza, che nella UE possono raggiungere il 10% del fatturato globale delle imprese interessante).
Basti considerare che negli ultimi due anni proprio Google è stata condannata dalla Commissione europea a pagare due sanzioni per abuso di posizione dominante, di cui una di € 2,42 miliardi (per il servizio Google Shopping) e una seconda di € 4,34 miliardi (per il sistema operativo mobile Android).
Non solo, il GDPR contiene un riferimento esplicito alle norme antitrust in relazione alla determinazione delle sanzioni: al Considerando 150 è espressamente indicato che se le sanzioni pecuniarie devono essere inflitte a imprese, la nozione di impresa deve esse quella definita ai fini dell’applicazione delle regole antitrust (segnatamente gli artt. 101 e 102 del TFUE, che vietano gli accordi anticoncorrenziali tra imprese e l’abuso di posizione dominante).
Tale nozione è incardinata sul principio di “unicità economica dei gruppi di imprese”, in base al quale tutte le società o enti economici che sono soggetti ad un comune centro di controllo costituiscono una singola impresa ai fini delle regole antitrust. In applicazione di tale principio, sfuma fino a scomparire il concetto stesso di separazione o schermo societario tra imprese dello stesso gruppo (cioè controllate dalla medesima controllante).
Il suddetto principio ha due importanti risvolti applicativi in materia di responsabilità delle imprese e calcolo delle sanzioni pecuniarie: (i) in primo luogo, che il “fatturato globale” della società indagata può essere fatto corrispondere (almeno) al fatturato globale consolidato della sua capogruppo e non solo a quello della singola società; (ii) in secondo luogo, che la società controllante, sia essa la diretta controllante o una holding finanziaria in cima alla catena di controllo, può essere considerata solidalmente responsabile per tutta o parte dell’infrazione.
Quindi, una holding di controllo di un grande gruppo può essere ritenuta responsabile delle infrazioni privacy di una qualsiasi delle sue società controllate, anche molto piccole o in fondo alla catena di controllo?
In effetti questo è ciò che accade spesso (se non di regola) con le infrazioni antitrust in applicazione del diritto UE: la sanzione viene inflitta alla società che ha direttamente posto in essere la condotta contestata, e una sua controllante (di solito finanziariamente più capiente) viene ritenuta solidalmente responsabile per tutta o parte della sanzione. E quindi questo è ciò che potrebbe accadere anche in applicazione del GDPR.
Per essere più precisi, la giurisprudenza comunitaria su questo tema è consolidata nell’affermare che opera una presunzione semplice (ma di fatto estremamente difficile da refutare) di responsabilità solidale della controllante per l’infrazione antitrust della controllata quanto la partecipazione in essa è pari al 100% (Caso C-97/08 P Akzo Nobel and Others v Commission [2009], punto 56-58).
In aggiunta, una sentenza più recente del Tribunale Generale della UE (caso T-419/14, Goldman Sachs v. Commission del 12 luglio 2018), su cui pende un appello alla Corte di Giustizia, ha affermato che che tale presunzione può operare anche nei confronti di imprese che detengono partecipazioni minoritarie nella controllata, se i diritti di voto o i poteri di nomina del management sono simili a quelli di un controllante totalitario.
Quest’ultima pronuncia ha destato molti commenti in virtù del fatto che la controllante operava come fondo di private equity, con un ruolo meramente finanziario e senza attività nel settore industriale in cui operava la controllata direttamente coinvolta nell’infrazione, ma nondimeno è stata ritenuta responsabile.
Inoltre, in linea di principio è sempre possibile per le autorità (o un privato in un contezioso civile) portare elementi circostanziati di diritto o di fatto che dimostrino l’esercizio di un potere di controllo (cd “influenza decisiva”) di un’impresa su di un’altra, indipendentemente dalla detenzione della maggioranza assoluta del capitale sociale o dei diritti di voto.
Cosa possono fare le società o holding a capo dei grandi gruppi per scongiurare questo rischio?
Scongiurare del tutto questo rischio non è possibile, se non rinunciando ad esercitare ogni effettivo potere di controllo sulle imprese a valle.
Si può però mitigare, assolvendo ad un obbligo di diligenza, mettendo in atto sofisticati programmi di compliance creati e configurati a livello di gruppo, che permettano un effettivo monitoraggio da parte della capogruppo e al contempo un’implementazione ritagliata sulle esigenze “locali” delle controllate.
Le holding finanziarie o i fondi di private equity non sono esenti da questo onere, in particolare se esercitano poteri di controllo molto estesi o simil-totalitari sulle loro controllate.
In fase di acquisto di partecipazioni in società in Europa, anche le holding e i fondi devono estendere la due diligence agli aspetti di compliance con il GDPR, con un livello di dettaglio e di attenzione maggiore rispetto al passato.