–

per la Deutsche Wohnen SE, da O. Geiss, K. Mertens, N. Venn e T. Wybitul, Rechtsanwälte;

–

per il governo tedesco, da J. Möller e P.-L. Krüger, in qualità di agenti;

–

per il governo estone, da M. Kriisa, in qualità di agente;

–

per il governo dei Paesi Bassi, da C.S. Schillemans, in qualità di agente;

–

per il governo norvegese, da L.-M. Moen Jünge, M. Munthe-Kaas e T. Westhagen Edell, in qualità di agenti;

–

per il Parlamento europeo, da G.C. Bartram e P. López-Carceller, in qualità di agenti;

–

per il Consiglio dell’Unione europea, da J. Bauerschmidt e K. Pleśniak, in qualità di agenti;

–

per la Commissione europea, da A. Bouchagiar, F. Erlbacher, H. Kranenborg e G. Meessen, in qualità di agenti,

1

La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 83, paragrafi da 4 a 6, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).

2

Tale domanda è stata presentata nell’ambito di una controversia tra la Deutsche Wohnen SE (in prosieguo: la «DW») e la Staatsanwaltschaft Berlin (procura di Berlino, Germania) in merito a una sanzione amministrativa pecuniaria inflitta alla DW, ai sensi dell’articolo 83 del RGPD, per violazione dell’articolo 5, paragrafo 1, lettere a), c) ed e), dell’articolo 6 nonché dell’articolo 25, paragrafo 1, di tale regolamento.

3

I considerando 9, 10, 11, 13, 74, 129 e 150 del RGPD enunciano quanto segue:

(...)

(...)

(...)

(...)

4

A termini dell’articolo 4 di tale regolamento:

«Ai fini del presente regolamento s’intende per:

(...)

(...)

(...)».

5

L’articolo 58 di detto regolamento, intitolato «Poteri», ai paragrafi 2 e 4 prevede quanto segue:

«2.   Ogni autorità di controllo ha tutti i poteri correttivi seguenti:

(...)

(...)

(...)

(...)

4.   L’esercizio da parte di un’autorità di controllo dei poteri attribuitile dal presente articolo è soggetto a garanzie adeguate, inclusi il ricorso giurisdizionale effettivo e il giusto processo, previste dal diritto dell’Unione e degli Stati membri conformemente alla [Carta dei diritti fondamentali dell’Unione europea]».

6

L’articolo 83 del medesimo regolamento, intitolato «Condizioni generali per infliggere sanzioni amministrative pecuniarie», così recita:

«1.   Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive.

2.   Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all’articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso, si tiene debito conto dei seguenti elementi:

3.   Se, in relazione allo stesso Trattamento o a trattamenti collegati, un Titolare del Trattamento o un Responsabile del Trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave.

4.   In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10000000 [di euro], o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

(...)

5.   In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20000000 [di euro], o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

6.   In conformità del paragrafo 2 del presente articolo, l’inosservanza di un ordine da parte dell’autorità di controllo di cui all’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20000000 [di euro], o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

7.   Fatti salvi i poteri correttivi delle autorità di controllo a norma dell’articolo 58, paragrafo 2, ogni Stato membro può prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici istituiti in tale Stato membro.

8.   L’esercizio da parte dell’autorità di controllo dei poteri attribuitile dal presente articolo è soggetto a garanzie procedurali adeguate in conformità del diritto dell’Unione e degli Stati membri, inclusi il ricorso giurisdizionale effettivo e il giusto processo.

(...)».

7

L’articolo 41, paragrafo 1, prima frase, del Bundesdatenschutzgesetz (legge federale in materia di protezione dei dati), del 30 giugno 2017 (BGBl. 2017 I, pag. 2097), prevede che, salvo disposizione contraria di tale legge, le disposizioni del Gesetz über Ordnungswidrigkeiten (legge in materia di infrazioni amministrative), del 24 maggio 1968 (BGBl. 1968 I, pag. 481), nella versione di cui alla comunicazione del 19 febbraio 1987 (BGBl. 1987 I, pag. 602), quale adattata dalla legge del 19 giugno 2020 (BGBl. 2020 I, pag. 1350; in prosieguo: l’«OWiG»), siano applicabili alle infrazioni di cui all’articolo 83, paragrafi da 4 a 6, del RGPD.

8

L’articolo 30 dell’OWiG, intitolato «Sanzioni pecuniarie nei confronti di persone giuridiche e associazioni di persone», dispone quanto segue:

«(1)   Quando una persona, agendo

ha commesso un illecito penale o amministrativo, a causa del quale gli obblighi che incombono sulla persona giuridica o sull’associazione di persone sono stati violati o tale persona giuridica o associazione di persone si è arricchita o avrebbe potuto arricchirsi, a detta persona giuridica o a detta associazione di persone può essere inflitta una sanzione pecuniaria.

(...)

(4)   Se in relazione all’illecito penale o amministrativo non viene avviato un procedimento penale o un procedimento amministrativo sanzionatorio, o se tale procedimento è archiviato o se non viene applicata alcuna sanzione, la sanzione pecuniaria può essere inflitta autonomamente. La legge può prevedere la possibilità di applicare una sanzione pecuniaria autonoma anche in altri casi. Tuttavia, l’irrogazione autonoma di una sanzione pecuniaria nei confronti della persona giuridica o dell’associazione di persone è esclusa ove l’illecito penale o amministrativo non possa essere perseguito per motivi giuridici (...)».

9

L’articolo 130 dell’OWiG è così formulato:

«(1)   È colpevole di illecito amministrativo chiunque, in qualità di Titolare di un’azienda o di un’impresa, ometta con dolo o colpa di adottare le misure di monitoraggio necessarie per prevenire, nell’azienda o nell’impresa, violazioni degli obblighi che incombono sul Titolare punibili con una pena o con una sanzione pecuniaria, qualora venga commessa una simile violazione che, con adeguate misure di monitoraggio, sarebbe stato possibile evitare od ostacolare in modo sostanziale. Le misure di monitoraggio necessarie includono la nomina, la selezione accurata e il controllo delle persone incaricate del monitoraggio.

(…)

(3)   Se la violazione dell’obbligo è punibile, l’illecito amministrativo può essere punito con una sanzione pecuniaria fino ad un milione di euro. Si applica l’articolo 30, paragrafo 2, terza frase. Qualora la violazione dell’obbligo sia punibile con una sanzione pecuniaria, l’importo massimo della sanzione inflitta per la violazione dell’obbligo di monitoraggio è determinato sulla base dell’importo massimo della sanzione applicata per tale violazione. (...)».

10

La DW è una società immobiliare, costituita nella forma giuridica di società europea, quotata in borsa e con sede sociale a Berlino (Germania). Essa detiene indirettamente, tramite partecipazioni in diverse società, circa 163000 unità abitative e 3000 unità commerciali.

11

I proprietari di tali unità sono società controllate della DW denominate «società proprietarie», che gestiscono le attività operative, mentre l’attività della DW si incentra sulla direzione generale del gruppo che essa costituisce in particolare con queste. Le società proprietarie danno in locazione le unità commerciali e abitative, la cui gestione è assicurata da altre società di tale gruppo, dette «società di servizi».

12

Nell’ambito delle loro attività commerciali, la DW e le società del gruppo da essa diretto trattano Dati personali dei locatari delle unità commerciali e abitative quali, ad esempio, prove dell’identità, dati fiscali, sociali e di assicurazione sanitaria di tali locatari, nonché informazioni sui precedenti contratti di locazione.

13

Il 23 giugno 2017, nell’ambito di un’ispezione in loco, la Berliner Beauftragte für den Datenschutz (autorità di controllo di Berlino, Germania; in prosieguo: l’«autorità di controllo») ha attirato l’attenzione della DW sul fatto che le società del suo gruppo conservavano documenti contenenti Dati personali dei locatari in un sistema di Archiviazione elettronica, che non consentiva di verificare se la conservazione fosse necessaria e di garantire che i dati non più necessari fossero cancellati.

14

L’autorità di controllo ha chiesto alla DW di sopprimere tali documenti dal suo sistema di Archiviazione elettronica entro la fine del 2017. In risposta a tale richiesta, la DW ha dichiarato che la soppressione non era possibile per ragioni tecniche e giuridiche.

15

A seguito di comunicazioni tra la DW e l’autorità di controllo circa la possibilità di sopprimere i documenti in questione, la DW ha informato tale autorità del suo intento di creare un nuovo sistema di Archiviazione in sostituzione di quello che conteneva detti documenti.

16

Il 5 marzo 2019, l’autorità di controllo ha effettuato una verifica presso la sede centrale del gruppo diretto dalla DW. In occasione di tale verifica, quest’ultima ha informato detta autorità che il sistema di Archiviazione elettronica controverso era già stato dismesso e che la migrazione dei dati verso il nuovo sistema di Archiviazione era imminente.

17

Con decisione del 30 ottobre 2019, l’autorità di controllo ha inflitto alla DW una sanzione amministrativa pecuniaria pari a EUR 14385000, per violazione dolosa dell’articolo 5, paragrafo 1, lettere a), c) ed e), nonché dell’articolo 25, paragrafo 1, del RGPD (in prosieguo: la «decisione di cui trattasi»). Con tale decisione, detta autorità ha inoltre inflitto alla DW altre 15 sanzioni pecuniarie di importo compreso tra EUR 3000 e EUR 17000 per violazione dell’articolo 6, paragrafo 1, del RGPD.

18

Nella decisione di cui trattasi l’autorità di controllo affermava, più in particolare, che la DW aveva dolosamente omesso, tra il 25 maggio 2018 e il 5 marzo 2019, di adottare le misure necessarie per consentire la regolare cancellazione dei Dati personali relativi ai locatari non più necessari o che, per altri motivi, erano stati erroneamente conservati. Essa rilevava altresì che la DW aveva continuato a conservare, senza che ciò fosse necessario, i Dati personali di almeno 15 locatari più specificamente identificati.

19

La DW ha proposto ricorso avverso tale decisione dinanzi al Landgericht Berlin (Tribunale del Land di Berlino, Germania). Tale giudice ha archiviato il procedimento ritenendo che la decisione di cui trattasi fosse affetta da vizi talmente gravi da non poter costituire il fondamento per l’applicazione di una sanzione pecuniaria.

20

Detto giudice ha rilevato, in particolare, che l’imposizione di una sanzione pecuniaria a una persona giuridica è disciplinata in modo tassativo dall’articolo 30 dell’OWiG, il quale, in forza dell’articolo 41, paragrafo 1, della legge federale sulla protezione dei dati, sarebbe applicabile alle violazioni di cui all’articolo 83, paragrafi da 4 a 6, del RGPD. Orbene, secondo tale articolo 30 dell’OWiG, un illecito amministrativo potrebbe essere constatato solo nei confronti di una persona fisica e non nei confronti di una persona giuridica. Inoltre, solo gli atti dei membri degli organi o dei rappresentanti della persona giuridica potrebbero essere imputati a quest’ultima. Benché detto articolo 30, paragrafo 4, consenta, a determinate condizioni, di avviare un procedimento amministrativo sanzionatorio autonomo nei confronti di una persona giuridica, ciò nondimeno anche in tal caso sarebbe necessario il previo accertamento di un illecito amministrativo a carico dei membri degli organi o dei rappresentanti della persona giuridica interessata.

21

La Staatsanwaltschaft Berlin (procura di Berlino) ha proposto ricorso avverso tale decisione dinanzi al Kammergericht Berlin (Tribunale superiore del Land di Berlino, Germania), giudice del rinvio.

22

Il giudice del rinvio si chiede, in primo luogo, se, ai sensi dell’articolo 83 del RGPD, sia possibile infliggere una sanzione amministrativa pecuniaria a una persona giuridica senza che la violazione del regolamento citato sia stata previamente imputata a una persona fisica identificata. In tale contesto, detto giudice si interroga in particolare sulla rilevanza della nozione di «impresa» ai sensi degli articoli 101 e 102 TFUE.

23

Al riguardo tale giudice spiega che, secondo una giurisprudenza nazionale, il regime di responsabilità limitata delle persone giuridiche vigente nel diritto nazionale sarebbe in contraddizione con il regime di responsabilità diretta delle imprese previsto dall’articolo 83 del RGPD. Secondo questa giurisprudenza, dalla formulazione dell’articolo 83 del RGPD, che conformemente al principio del primato del diritto dell’Unione prevale sul regime nazionale, risulterebbe in particolare la possibilità di imporre sanzioni amministrative pecuniarie alle imprese. Non vi sarebbe quindi necessità di ricollegare l’imposizione di tali sanzioni pecuniarie ad un atto doloso o colposo degli organi o dei dirigenti delle persone giuridiche, al contrario di quanto richiesto dal diritto nazionale applicabile.

24

Infatti, a parere di tale giudice la suddetta giurisprudenza, al pari della maggior parte della dottrina nazionale, attribuirebbe una particolare rilevanza alla nozione di «impresa» ai sensi degli articoli 101 e 102 TFUE, e quindi all’idea che la responsabilità è imputata all’entità economica all’interno della quale è stato posto in essere il comportamento indesiderato, ad esempio anticoncorrenziale. Secondo siffatta concezione «funzionale», tutti gli atti di tutti i dipendenti autorizzati ad agire in nome di un’impresa sarebbero imputabili all’impresa, anche nell’ambito dei procedimenti amministrativi.

25

In secondo luogo, nell’ipotesi in cui la Corte dovesse ritenere che sia possibile infliggere una sanzione amministrativa pecuniaria direttamente a una persona giuridica, il giudice del rinvio si chiede quali criteri debbano essere applicati per stabilire la responsabilità di una persona giuridica, in quanto impresa, per una violazione del RGPD. Esso desidera in particolare sapere se una sanzione amministrativa pecuniaria possa essere inflitta ai sensi dell’articolo 83 di tale regolamento a una persona giuridica, senza che sia accertato che la violazione di detto regolamento a questa imputata sia stata commessa in modo doloso o colposo.

26

In tali circostanze, il Kammergericht Berlin (Tribunale superiore del Land di Berlino) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

27

In seguito all’udienza di discussione tenutasi il 17 gennaio 2023 la DW, con atto depositato presso la cancelleria della Corte il 23 marzo 2023, ha chiesto che fosse disposta la riapertura della fase orale del procedimento, ai sensi dell’articolo 83 del regolamento di procedura della Corte.

28

A sostegno della sua domanda la DW afferma, in sostanza, che le risposte fornite dal giudice del rinvio alla richiesta di chiarimenti rivoltagli ai sensi dell’articolo 101 del regolamento di procedura fornirebbero alla Corte informazioni inesatte sulle disposizioni applicabili del diritto nazionale. Orbene, all’udienza del 17 gennaio 2023 non sarebbe stato possibile un dibattito esaustivo a tale proposito, dato che le parti sarebbero venute a conoscenza di dette risposte solo tre giorni lavorativi prima di tale udienza. In effetti, un simile termine non avrebbe consentito di preparare in modo approfondito l’udienza.

29

È vero che, conformemente all’articolo 83 del regolamento di procedura, la Corte, in qualsiasi momento, sentito l’avvocato generale, può disporre la riapertura della fase orale del procedimento, in particolare se essa non si ritiene sufficientemente edotta o quando, dopo la chiusura di tale fase, una parte ha prodotto un fatto nuovo tale da influenzare in modo decisivo la decisione della Corte, oppure quando la causa dev’essere decisa in base a un argomento che non è stato oggetto di discussione tra gli interessati.

30

Nel caso di specie, tuttavia, la Corte dispone di tutti gli elementi necessari per statuire e la presente causa non deve essere decisa sulla base di argomenti che non siano stati discussi dagli interessati. Inoltre, la domanda di riapertura della fase orale del procedimento non rivela alcun fatto nuovo tale da influenzare in modo decisivo la decisione che la Corte è chiamata ad adottare nella presente causa.

31

In tali circostanze la Corte, sentito l’avvocato generale, ritiene che non sia necessario disporre la riapertura della fase orale del procedimento.

32

Con la sua prima questione il giudice del rinvio chiede, in sostanza, se l’articolo 58, paragrafo 2, e l’articolo 83, paragrafi da 1 a 6, del RGPD debbano essere interpretati nel senso che essi ostano a una normativa nazionale in forza della quale una sanzione amministrativa pecuniaria può essere inflitta a una persona giuridica, nella sua qualità di Titolare del trattamento, per una violazione di cui ai paragrafi da 4 a 6 di tale articolo 83 solo a condizione che tale violazione sia stata previamente imputata a una persona fisica identificata.

33

In via preliminare occorre rilevare che, nelle sue osservazioni scritte, il governo tedesco ha espresso dubbi su tale interpretazione del diritto nazionale sviluppata dal giudice del rinvio, con la motivazione che l’articolo 130 dell’OWiG consente di imporre una sanzione pecuniaria a una persona giuridica anche al di fuori dei casi previsti dall’articolo 30 dell’OWiG. Inoltre, queste due disposizioni consentirebbero di applicare una sanzione pecuniaria cosiddetta «anonima» nei procedimenti avviati contro l’impresa, senza la necessità di identificare la persona fisica Responsabile della violazione in questione.

34

In risposta a una richiesta di chiarimenti rivolta al giudice del rinvio, menzionata al punto 28 della presente sentenza, quest’ultimo ha precisato che l’articolo 130 dell’OWiG non incide sulla prima questione proposta.

35

Infatti, secondo detto giudice tale disposizione riguarda il Titolare di un’azienda o di un’impresa, che deve essere venuto meno, in modo doloso o colposo, ad un obbligo di monitoraggio. La prova di una siffatta violazione di obblighi imputabili al Titolare dell’impresa, tuttavia, sarebbe oltremodo complessa e spesso impossibile da fornire e la questione se un gruppo di imprese possa essere qualificato come «impresa» o come «titolare di imprese» ai sensi di detta disposizione sarebbe controversa a livello nazionale. In ogni caso, la prima questione pregiudiziale sarebbe rilevante anche in tale contesto.

36

Occorre ricordare che, per quanto riguarda l’interpretazione delle disposizioni dell’ordinamento giuridico nazionale, la Corte è in linea di principio tenuta a fondarsi sulle qualificazioni riportate nella decisione di rinvio. Infatti, secondo una giurisprudenza costante, la Corte non è competente ad interpretare il diritto interno di uno Stato membro (sentenza del 26 gennaio 2021, Hessischer Rundfunk,C‑422/19 e C‑423/19, EU:C:2021:63, punto 31 e giurisprudenza ivi citata).

37

Pertanto, si deve rispondere alla prima questione pregiudiziale muovendo dalla premessa secondo cui, in forza del diritto nazionale applicabile, è possibile infliggere una sanzione amministrativa pecuniaria a una persona giuridica nella sua qualità di Titolare del Trattamento per una violazione di cui all’articolo 83, paragrafi da 4 a 6, del RGPD solo alle condizioni previste dall’articolo 30 dell’OWiG, quali illustrate dal giudice del rinvio.

38

Per rispondere a tale prima questione occorre innanzitutto rilevare che i principi, i divieti e gli obblighi stabiliti dal RGPD si rivolgono, in particolare, ai «titolari del trattamento» la cui responsabilità si estende, come sottolineato dal considerando 74 del RGPD, a qualsiasi Trattamento di Dati personali effettuato direttamente o che altri abbiano effettuato per loro conto, e che sono tenuti, a tale titolo, non solo a mettere in atto misure adeguate ed efficaci, ma anche ad essere in grado di dimostrare la conformità delle loro attività di Trattamento con il RGPD, compresa l’efficacia delle misure adottate per garantire una siffatta conformità. È tale responsabilità che, in caso di violazioni di cui all’articolo 83, paragrafi da 4 a 6, del regolamento citato, costituisce il fondamento per l’irrogazione di una sanzione amministrativa pecuniaria al Responsabile del Trattamento ai sensi di detto articolo 83.

39

L’articolo 4, punto 7, del RGPD definisce in senso ampio la nozione di «titolare del trattamento» come la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del Trattamento di dati personali.

40

L’obiettivo di tale ampia definizione dell’articolo 4, punto 7, del RGPD – che include espressamente le persone giuridiche – consiste, in conformità con quello del RGPD, nell’assicurare un’efficace protezione delle libertà e dei diritti fondamentali delle persone fisiche nonché, segnatamente, un elevato livello di protezione del diritto di ogni persona alla tutela dei Dati personali che la riguardano (v., in tale senso, sentenze del 29 luglio 2019, Fashion ID,C‑40/17, EU:C:2019:629, punto 66, e del 28 aprile 2022, Meta Platforms Ireland,C‑319/20, EU:C:2022:322, punto 73 nonché giurisprudenza ivi citata).

41

Inoltre, la Corte ha già dichiarato che ogni persona fisica o giuridica che, per scopi che le sono propri, influisca sul Trattamento di Dati personali e partecipi pertanto alla determinazione delle finalità e degli strumenti di tale Trattamento può essere considerata Titolare del Trattamento (v., in tal senso, sentenza del 10 luglio 2018, Jehovan todistajat,C‑25/17, EU:C:2018:551, punto 68).

42

Dalla formulazione e dalla finalità dell’articolo 4, punto 7, del RGPD si evince quindi che il legislatore dell’Unione non ha operato, ai fini della determinazione della responsabilità ai sensi del regolamento in esame, una distinzione tra persone fisiche e persone giuridiche; tale responsabilità è subordinata all’unica condizione che queste, da sole o insieme ad altri, determinino le finalità e gli strumenti del Trattamento di dati personali.

43

Pertanto, fatto salvo quanto previsto all’articolo 83, paragrafo 7, del RGPD relativamente alle autorità e agli organismi pubblici, ogni persona che soddisfi la suindicata condizione – indipendentemente dal fatto che si tratti di una persona fisica, di una persona giuridica, di un’autorità pubblica, di un servizio o di un altro organismo – è responsabile, in particolare, per qualsiasi violazione di cui al citato articolo 83, paragrafi da 4 a 6, commessa dalla stessa o per suo conto.

44

Per quanto riguarda le persone giuridiche ciò implica, da un lato, come rilevato, in sostanza, dall’avvocato generale ai paragrafi da 57 a 59 delle sue conclusioni, che queste sono responsabili non solo delle violazioni commesse dai loro rappresentanti, dirigenti o amministratori, ma anche da qualsiasi altra persona che agisca nell’ambito dell’attività commerciale di tali persone giuridiche e per loro conto. Dall’altro, le sanzioni amministrative pecuniarie previste dall’articolo 83 del RGPD in caso di siffatte violazioni devono poter essere inflitte direttamente alle persone giuridiche ove queste possano essere qualificate come titolari del Trattamento in questione.

45

Occorre poi rilevare che l’articolo 58, paragrafo 2, del RGPD stabilisce con precisione i poteri di cui dispongono le autorità di controllo in materia di adozione di provvedimenti correttivi, senza fare rinvio al diritto degli Stati membri né lasciare alcun margine di discrezionalità a questi ultimi. Orbene, da un lato, tali poteri, che includono, in forza del paragrafo 2, lettera i), di detto articolo 58, quello di infliggere una sanzione amministrativa pecuniaria, riguardano il Titolare del Trattamento e, dall’altro, come emerge dal punto 39 della presente sentenza, tale Titolare può essere tanto una persona fisica quanto una persona giuridica. Le condizioni sostanziali che un’autorità di controllo deve soddisfare nell’infliggere una simile sanzione pecuniaria sono, a loro volta, enunciate ai paragrafi da 1 a 6 di detto articolo 83 con precisione e senza lasciare alcun margine di discrezionalità agli Stati membri.

46

Dal combinato disposto dell’articolo 4, punto 7, dell’articolo 83 e dell’articolo 58, paragrafo 2, lettera i), del RGPD risulta quindi che una sanzione amministrativa pecuniaria per una violazione di cui a tale articolo 83, paragrafi da 4 a 6, può essere inflitta anche a persone giuridiche qualora queste abbiano la qualità di titolari del trattamento. Per contro, nessuna disposizione del RGPD consente di ritenere che l’irrogazione di una sanzione amministrativa pecuniaria a una persona giuridica, in quanto Titolare del trattamento, sia subordinata alla previa constatazione che tale violazione sia stata commessa da una persona fisica identificata.

47

È vero che dall’articolo 58, paragrafo 4, e dall’articolo 83, paragrafo 8, del RGPD, letti alla luce del considerando 129 di tale regolamento, risulta che l’esercizio, da parte di un’autorità di controllo, dei poteri attribuitile da tali articoli è soggetto a garanzie procedurali adeguate conformemente al diritto dell’Unione e degli Stati membri, inclusi il ricorso giurisdizionale effettivo e il giusto processo.

48

Tuttavia, il fatto che detto regolamento dia in tal modo agli Stati membri la facoltà di prevedere requisiti relativi alla procedura che le autorità di controllo devono seguire per infliggere una sanzione amministrativa pecuniaria non significa affatto che essi siano parimenti autorizzati a prevedere, oltre a simili requisiti di carattere procedurale, condizioni sostanziali supplementari rispetto a quelle stabilite da detto articolo 83, paragrafi da 1 a 6. Inoltre, il fatto che il legislatore dell’Unione si sia premurato di prevedere espressamente tale possibilità ma non di prevedere simili condizioni sostanziali supplementari conferma che a questo riguardo esso non ha lasciato agli Stati membri alcun margine di discrezionalità. Tali condizioni sostanziali ricadono quindi esclusivamente nel diritto dell’Unione.

49

L’interpretazione letterale dell’articolo 58, paragrafo 2, e dell’articolo 83, paragrafi da 1 a 6, del RGPD che precede è corroborata dalla finalità dello stesso regolamento.

50

Dal considerando 10 del RGPD risulta segnatamente che le disposizioni di quest’ultimo hanno, in particolare, l’obiettivo di garantire un livello coerente ed elevato di protezione delle persone fisiche riguardo al Trattamento dei Dati personali all’interno dell’Unione e, a tal fine, di assicurare un’applicazione coerente e omogenea delle norme a protezione delle libertà e dei diritti fondamentali di dette persone riguardo al Trattamento di tali dati in tutta l’Unione. I considerando 11 e 129 del RGPD sottolineano, inoltre, la necessità di assicurare, al fine di garantire un’applicazione coerente del regolamento in questione, che le autorità di controllo dispongano di poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei Dati personali e che possano infliggere sanzioni equivalenti per le violazioni di detto regolamento.

51

Orbene, consentire agli Stati membri di richiedere unilateralmente e quale condizione necessaria per imporre una sanzione pecuniaria amministrativa, ai sensi dell’articolo 83 del RGPD, a un Titolare del Trattamento che sia una persona giuridica, che la violazione in questione sia previamente imputata o imputabile a una persona fisica identificata sarebbe contrario a tale finalità del RGPD. Inoltre, un siffatto requisito supplementare rischierebbe, in definitiva, di indebolire l’efficacia e l’effetto dissuasivo delle sanzioni amministrative pecuniarie inflitte a persone giuridiche in quanto titolari del trattamento, in violazione dell’articolo 83, paragrafo 1, del RGPD.

52

A questo proposito va ricordato che l’articolo 288, secondo comma, TFUE prevede che un regolamento dell’Unione è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri il che esclude, salvo disposizione contraria, che gli Stati membri adottino disposizioni interne tali da incidere sulla portata di un simile regolamento. Inoltre, gli Stati membri sono tenuti, in forza degli obblighi derivanti dal Trattato FUE, a non ostacolare l’applicabilità diretta propria dei regolamenti. In particolare, essi non possono adottare atti che possano nascondere alle parti in causa la natura di diritto dell’Unione di una norma giuridica e gli effetti che ne derivano (sentenza del 15 novembre 2012, Al-Aqsa/Consiglio e Paesi Bassi/Al‑Aqsa, C‑539/10 P e C‑550/10 P, EU:C:2012:711, punti 86 e 87 nonché giurisprudenza ivi citata).

53

Infine, tenuto conto dei quesiti formulati dal giudice del rinvio, deve rilevarsi che la nozione di «impresa», ai sensi degli articoli 101 e 102 TFUE, non incide sulla questione se e a quali condizioni una sanzione amministrativa pecuniaria possa essere inflitta ai sensi dell’articolo 83 del RGPD a un Titolare del Trattamento che sia una persona giuridica, questione disciplinata in modo tassativo dall’articolo 58, paragrafo 2, e dall’articolo 83, paragrafi da 1 a 6, di tale regolamento.

54

La nozione in parola assume infatti rilievo solo in sede di determinazione dell’importo della sanzione amministrativa pecuniaria inflitta a un Titolare del Trattamento ai sensi dell’articolo 83, paragrafi da 4 a 6, del RGPD.

55

Come rilevato dall’avvocato generale al paragrafo 45 delle sue conclusioni, è in tale specifico contesto del calcolo delle sanzioni amministrative pecuniarie inflitte per violazioni di cui all’articolo 83, paragrafi da 4 a 6, del RGPD che va inquadrato il riferimento, effettuato al considerando 150 di tale regolamento, alla nozione di «impresa» ai sensi degli articoli 101 e 102 TFUE.

56

Al riguardo occorre sottolineare che, ai fini dell’applicazione delle norme in materia di concorrenza di cui agli articoli 101 e 102 TFUE, la nozione in questione comprende qualsiasi ente che eserciti un’attività economica, a prescindere dal suo status giuridico e dalle sue modalità di finanziamento. Essa si riferisce pertanto a un’unità economica anche qualora, sotto il profilo giuridico, tale unità economica sia costituita da più persone, fisiche o giuridiche. Detta unità economica consiste in un’organizzazione unitaria di elementi personali, materiali e immateriali che persegue stabilmente un determinato fine di natura economica (sentenza del 6 ottobre 2021, Sumal,C‑882/19, EU:C:2021:800, punto 41 e giurisprudenza ivi citata).

57

Pertanto, dall’articolo 83, paragrafi da 4 a 6, del RGPD, che si riferisce al calcolo delle sanzioni amministrative pecuniarie per le violazioni elencate in tali paragrafi, risulta che, nel caso in cui il Destinatario della sanzione amministrativa pecuniaria sia o faccia parte di un’impresa ai sensi degli articoli 101 e 102 TFUE, l’importo massimo della sanzione amministrativa pecuniaria è calcolato sulla base di una percentuale del fatturato mondiale totale annuo dell’esercizio precedente dell’impresa interessata.

58

In definitiva, come rilevato dall’avvocato generale al paragrafo 47 delle sue conclusioni, solo una sanzione amministrativa pecuniaria il cui importo sia determinato in funzione della capacità economica reale o materiale del suo destinatario, e quindi imposta dall’autorità di controllo sulla base, per quanto riguarda l’importo della stessa, della nozione di unità economica ai sensi della giurisprudenza citata al punto 56 della presente sentenza, può soddisfare le tre condizioni enunciate all’articolo 83, paragrafo 1, del RGPD, vale a dire essere allo stesso tempo effettiva, proporzionata e dissuasiva.

59

Pertanto quando un’autorità di controllo decide, in forza dei poteri attribuitile dall’articolo 58, paragrafo 2, del RGPD, di imporre a un Titolare del trattamento, che sia o faccia parte di un’impresa ai sensi degli articoli 101 e 102 TFUE, una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 di detto regolamento, tale autorità è tenuta a fondarsi, in forza di quest’ultima disposizione, letta alla luce del considerando 150 del medesimo regolamento, nel calcolare le sanzioni amministrative pecuniarie per le violazioni di cui ai paragrafi da 4 a 6 di tale articolo 83, sulla nozione di «impresa» ai sensi di tali articoli 101 e 102 TFUE.

60

Alla luce dei motivi che precedono, occorre rispondere alla prima questione dichiarando che l’articolo 58, paragrafo 2, lettera i), e l’articolo 83, paragrafi da 1 a 6, del RGPD devono essere interpretati nel senso che essi ostano a una normativa nazionale in forza della quale una sanzione amministrativa pecuniaria può essere inflitta a una persona giuridica, nella sua qualità di Titolare del trattamento, per una violazione di cui ai paragrafi da 4 a 6 di tale articolo 83 solo a condizione che tale violazione sia stata previamente imputata a una persona fisica identificata.

61

Con la sua seconda questione, posta nell’ipotesi di una risposta in senso affermativo alla prima questione, il giudice del rinvio chiede, in sostanza, se l’articolo 83 del RGPD debba essere interpretato nel senso che una sanzione amministrativa pecuniaria può essere inflitta ai sensi di tale disposizione solo qualora venga accertato che il Titolare del trattamento, che sia al contempo una persona giuridica e un’impresa, ha commesso, con dolo o colpa, una violazione di cui ai paragrafi da 4 a 6 di tale articolo.

62

In proposito, va ricordato che dall’articolo 83, paragrafo 1, del RGPD risulta che le sanzioni amministrative pecuniarie devono essere effettive, proporzionate e dissuasive. Per contro, l’articolo 83 del RGPD non precisa espressamente che le violazioni di cui ai paragrafi da 4 a 6 di tale articolo possano essere punite con una sanzione siffatta solo se commesse con dolo o, quanto meno, con colpa.

63

I governi tedesco, estone e norvegese nonché il Consiglio dell’Unione europea ne deducono segnatamente che il legislatore dell’Unione avrebbe inteso lasciare agli Stati membri un certo margine di discrezionalità nell’attuazione dell’articolo 83 del RGPD, consentendo loro di prevedere l’imposizione di sanzioni amministrative pecuniarie ai sensi di tale disposizione, eventualmente, senza che sia accertato che la violazione del RGPD punita con detta sanzione sia stata commessa con dolo o con colpa.

64

Una siffatta interpretazione dell’articolo 83 del RGPD non può essere accolta.

65

A tal riguardo, come constatato ai punti 45 e 48 della presente sentenza, le condizioni sostanziali che un’autorità di controllo deve rispettare nell’infliggere una sanzione amministrativa pecuniaria a un Titolare del Trattamento rientrano unicamente nel diritto dell’Unione; queste condizioni sono fissate, con precisione e senza lasciare agli Stati membri alcun margine di discrezionalità, all’articolo 83, paragrafi da 1 a 6, del RGPD (v., altresì, sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:XXX, punti da 64 a 70).

66

Per quanto riguarda le condizioni di cui trattasi deve rilevarsi che l’articolo 83, paragrafo 2, del RGPD elenca gli elementi in base ai quali l’autorità di controllo applica una sanzione amministrativa pecuniaria al Titolare del trattamento. Tra tali elementi rientra, alla lettera b) della disposizione in esame, «il carattere doloso o colposo della violazione». Invece, nessuno degli elementi elencati in detta disposizione indica una qualsiasi possibilità che il Titolare del Trattamento sia considerato Responsabile in assenza di un suo comportamento colpevole.

67

Inoltre, l’articolo 83, paragrafo 2, del RGPD deve essere letto in combinato disposto con il paragrafo 3 del medesimo articolo, il cui scopo è prevedere le conseguenze dei casi di cumulo di violazioni di tale regolamento e ai sensi del quale «[s]e, in relazione allo stesso Trattamento o a trattamenti collegati, un Titolare del Trattamento o un Responsabile del Trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

68

Dalla formulazione dell’articolo 83, paragrafo 2, del RGPD si evince quindi che solo le violazioni delle disposizioni di tale regolamento commesse in modo illecito dal Titolare del trattamento, ossia quelle commesse con dolo o colpa, possono comportare l’imposizione di una sanzione amministrativa pecuniaria nei confronti di quest’ultimo ai sensi di tale articolo.

69

L’impianto generale e la finalità del RGPD corroborano tale interpretazione.

70

Da un lato, il legislatore dell’Unione ha previsto un sistema di sanzioni che consente alle autorità di controllo di imporre le sanzioni più appropriate in base alle circostanze di ciascun caso.

71

Infatti, l’articolo 58 del RGPD prevede, al paragrafo 2, lettera i), che tali autorità possano infliggere le sanzioni amministrative pecuniarie, ai sensi dell’articolo 83 di tale regolamento, «in aggiunta» o «in luogo» degli altri provvedimenti correttivi elencati in tale articolo 58, paragrafo 2, quali avvertimenti, ammonimenti od ordini. Allo stesso modo, il considerando 148 di detto regolamento enuncia in particolare che, in caso di violazione minore o se la sanzione amministrativa pecuniaria che dovrebbe essere imposta costituisca un onere sproporzionato per una persona fisica, alle autorità di controllo è consentito astenersi dall’imporre una sanzione amministrativa pecuniaria e, in sua vece, pronunciare un ammonimento.

72

Dall’altro lato, come rilevato al punto 50 della presente sentenza, le disposizioni del RGPD hanno segnatamente l’obiettivo di garantire un livello coerente ed elevato di protezione delle persone fisiche riguardo al Trattamento dei Dati personali all’interno dell’Unione e, a tal fine, assicurare un’applicazione coerente ed omogenea delle norme a protezione delle libertà e dei diritti fondamentali di dette persone con riferimento al Trattamento di tali dati in tutta l’Unione. Inoltre, al fine di garantire un’applicazione coerente del regolamento in questione, le autorità di controllo devono disporre di poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali, in modo da poter infliggere sanzioni equivalenti per le violazioni di detto regolamento.

73

L’esistenza di un sistema sanzionatorio che, qualora le circostanze specifiche di ciascun caso lo giustifichino, consente di imporre una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 del RGPD crea, per i titolari del Trattamento e per i responsabili del trattamento, un incentivo a conformarsi a tale regolamento. Grazie al loro effetto dissuasivo, le sanzioni amministrative pecuniarie contribuiscono a rafforzare la protezione delle persone fisiche in relazione al Trattamento dei Dati personali e costituiscono pertanto un elemento chiave per garantire il rispetto dei diritti di tali persone, conformemente alla finalità del regolamento in esame di assicurare un livello elevato di protezione di dette persone riguardo al Trattamento dei dati personali.

74

Tuttavia, il legislatore dell’Unione non ha ritenuto necessario, per garantire un siffatto livello elevato di protezione, prevedere l’irrogazione di sanzioni amministrative pecuniarie in assenza di colpa. Dal momento che il RGPD mira a un livello di protezione al contempo equivalente e omogeneo e che esso, a tal fine, deve essere applicato in modo coerente in tutta l’Unione, sarebbe contrario a tale scopo consentire agli Stati membri di prevedere un simile regime per l’imposizione di una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 di detto regolamento. Siffatta libertà di scelta sarebbe, inoltre, tale da falsare la concorrenza tra gli operatori economici all’interno dell’Unione, il che sarebbe in contrasto con gli obiettivi espressi dal legislatore dell’Unione, segnatamente, ai considerando 9 e 13 di detto regolamento.

75

Di conseguenza, si deve rilevare che l’articolo 83 del RGPD non consente di infliggere una sanzione amministrativa pecuniaria per una violazione di cui ai suoi paragrafi da 4 a 6 senza che sia accertato che tale violazione è stata commessa con dolo o colpa dal Titolare del Trattamento e che, pertanto, una violazione illecita configura una condizione per l’imposizione di una siffatta ammenda.

76

Al riguardo occorre inoltre precisare, relativamente alla questione se una violazione sia stata commessa con dolo o colpa e sia perciò punibile con una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 del RGPD, che un Titolare del Trattamento può essere sanzionato per un comportamento ricadente nell’ambito di applicazione del RGPD qualora detto Titolare non potesse ignorare il carattere illecito del proprio comportamento, a prescindere dalla sua consapevolezza di violare le disposizioni del RGPD (v., per analogia, sentenze del 18 giugno 2013, Schenker & Co. e a., C‑681/11, EU:C:2013:404, punto 37 e giurisprudenza ivi citata; del 25 marzo 2021, Lundbeck/Commissione,C‑591/16 P, EU:C:2021:243, punto 156, e del 25 marzo 2021, Arrow Group e Arrow Generics/Commissione, C‑601/16 P, EU:C:2021:244, punto 97).

77

Quando il Titolare del Trattamento è una persona giuridica, va altresì precisato che l’applicazione dell’articolo 83 del RGPD non presuppone l’azione o quanto meno la consapevolezza da parte dell’organo di gestione di tale persona giuridica (v., per analogia, sentenze del 7 giugno 1983, Musique Diffusion française e a./Commissione, da 100/80 a 103/80, EU:C:1983:158, punto 97, nonché del 16 febbraio 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/Commissione,C‑94/15 P, EU:C:2017:124, punto 28 e giurisprudenza ivi citata).

78

Alla luce delle considerazioni che precedono, occorre rispondere alla seconda questione dichiarando che l’articolo 83 del RGPD deve essere interpretato nel senso che una sanzione amministrativa pecuniaria può essere inflitta ai sensi di tale disposizione solo qualora venga accertato che il Titolare del trattamento, che sia al contempo una persona giuridica e un’impresa, ha commesso, con dolo o colpa, una violazione di cui ai paragrafi da 4 a 6 di tale articolo.

79

Nei confronti delle parti nel procedimento principale la presente causa costituisce un Incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Grande Sezione) dichiara:

–

per la Deutsche Wohnen SE, da O. Geiss, K. Mertens, N. Venn e T. Wybitul, Rechtsanwälte;

–

per il governo tedesco, da J. Möller e P.-L. Krüger, in qualità di agenti;

–

per il governo estone, da M. Kriisa, in qualità di agente;

–

per il governo dei Paesi Bassi, da C.S. Schillemans, in qualità di agente;

–

per il governo norvegese, da L.-M. Moen Jünge, M. Munthe-Kaas e T. Westhagen Edell, in qualità di agenti;

–

per il Parlamento europeo, da G.C. Bartram e P. López-Carceller, in qualità di agenti;

–

per il Consiglio dell’Unione europea, da J. Bauerschmidt e K. Pleśniak, in qualità di agenti;

–

per la Commissione europea, da A. Bouchagiar, F. Erlbacher, H. Kranenborg e G. Meessen, in qualità di agenti,

1

La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 83, paragrafi da 4 a 6, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).

2

Tale domanda è stata presentata nell’ambito di una controversia tra la Deutsche Wohnen SE (in prosieguo: la «DW») e la Staatsanwaltschaft Berlin (procura di Berlino, Germania) in merito a una sanzione amministrativa pecuniaria inflitta alla DW, ai sensi dell’articolo 83 del RGPD, per violazione dell’articolo 5, paragrafo 1, lettere a), c) ed e), dell’articolo 6 nonché dell’articolo 25, paragrafo 1, di tale regolamento.

3

I considerando 9, 10, 11, 13, 74, 129 e 150 del RGPD enunciano quanto segue:

(...)

(...)

(...)

(...)

4

A termini dell’articolo 4 di tale regolamento:

«Ai fini del presente regolamento s’intende per:

(...)

(...)

(...)».

5

L’articolo 58 di detto regolamento, intitolato «Poteri», ai paragrafi 2 e 4 prevede quanto segue:

«2.   Ogni autorità di controllo ha tutti i poteri correttivi seguenti:

(...)

(...)

(...)

(...)

4.   L’esercizio da parte di un’autorità di controllo dei poteri attribuitile dal presente articolo è soggetto a garanzie adeguate, inclusi il ricorso giurisdizionale effettivo e il giusto processo, previste dal diritto dell’Unione e degli Stati membri conformemente alla [Carta dei diritti fondamentali dell’Unione europea]».

6

L’articolo 83 del medesimo regolamento, intitolato «Condizioni generali per infliggere sanzioni amministrative pecuniarie», così recita:

«1.   Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive.

2.   Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all’articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso, si tiene debito conto dei seguenti elementi:

3.   Se, in relazione allo stesso Trattamento o a trattamenti collegati, un Titolare del Trattamento o un Responsabile del Trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave.

4.   In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10000000 [di euro], o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

(...)

5.   In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20000000 [di euro], o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

6.   In conformità del paragrafo 2 del presente articolo, l’inosservanza di un ordine da parte dell’autorità di controllo di cui all’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20000000 [di euro], o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

7.   Fatti salvi i poteri correttivi delle autorità di controllo a norma dell’articolo 58, paragrafo 2, ogni Stato membro può prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici istituiti in tale Stato membro.

8.   L’esercizio da parte dell’autorità di controllo dei poteri attribuitile dal presente articolo è soggetto a garanzie procedurali adeguate in conformità del diritto dell’Unione e degli Stati membri, inclusi il ricorso giurisdizionale effettivo e il giusto processo.

(...)».

7

L’articolo 41, paragrafo 1, prima frase, del Bundesdatenschutzgesetz (legge federale in materia di protezione dei dati), del 30 giugno 2017 (BGBl. 2017 I, pag. 2097), prevede che, salvo disposizione contraria di tale legge, le disposizioni del Gesetz über Ordnungswidrigkeiten (legge in materia di infrazioni amministrative), del 24 maggio 1968 (BGBl. 1968 I, pag. 481), nella versione di cui alla comunicazione del 19 febbraio 1987 (BGBl. 1987 I, pag. 602), quale adattata dalla legge del 19 giugno 2020 (BGBl. 2020 I, pag. 1350; in prosieguo: l’«OWiG»), siano applicabili alle infrazioni di cui all’articolo 83, paragrafi da 4 a 6, del RGPD.

8

L’articolo 30 dell’OWiG, intitolato «Sanzioni pecuniarie nei confronti di persone giuridiche e associazioni di persone», dispone quanto segue:

«(1)   Quando una persona, agendo

ha commesso un illecito penale o amministrativo, a causa del quale gli obblighi che incombono sulla persona giuridica o sull’associazione di persone sono stati violati o tale persona giuridica o associazione di persone si è arricchita o avrebbe potuto arricchirsi, a detta persona giuridica o a detta associazione di persone può essere inflitta una sanzione pecuniaria.

(...)

(4)   Se in relazione all’illecito penale o amministrativo non viene avviato un procedimento penale o un procedimento amministrativo sanzionatorio, o se tale procedimento è archiviato o se non viene applicata alcuna sanzione, la sanzione pecuniaria può essere inflitta autonomamente. La legge può prevedere la possibilità di applicare una sanzione pecuniaria autonoma anche in altri casi. Tuttavia, l’irrogazione autonoma di una sanzione pecuniaria nei confronti della persona giuridica o dell’associazione di persone è esclusa ove l’illecito penale o amministrativo non possa essere perseguito per motivi giuridici (...)».

9

L’articolo 130 dell’OWiG è così formulato:

«(1)   È colpevole di illecito amministrativo chiunque, in qualità di Titolare di un’azienda o di un’impresa, ometta con dolo o colpa di adottare le misure di monitoraggio necessarie per prevenire, nell’azienda o nell’impresa, violazioni degli obblighi che incombono sul Titolare punibili con una pena o con una sanzione pecuniaria, qualora venga commessa una simile violazione che, con adeguate misure di monitoraggio, sarebbe stato possibile evitare od ostacolare in modo sostanziale. Le misure di monitoraggio necessarie includono la nomina, la selezione accurata e il controllo delle persone incaricate del monitoraggio.

(…)

(3)   Se la violazione dell’obbligo è punibile, l’illecito amministrativo può essere punito con una sanzione pecuniaria fino ad un milione di euro. Si applica l’articolo 30, paragrafo 2, terza frase. Qualora la violazione dell’obbligo sia punibile con una sanzione pecuniaria, l’importo massimo della sanzione inflitta per la violazione dell’obbligo di monitoraggio è determinato sulla base dell’importo massimo della sanzione applicata per tale violazione. (...)».

10

La DW è una società immobiliare, costituita nella forma giuridica di società europea, quotata in borsa e con sede sociale a Berlino (Germania). Essa detiene indirettamente, tramite partecipazioni in diverse società, circa 163000 unità abitative e 3000 unità commerciali.

11

I proprietari di tali unità sono società controllate della DW denominate «società proprietarie», che gestiscono le attività operative, mentre l’attività della DW si incentra sulla direzione generale del gruppo che essa costituisce in particolare con queste. Le società proprietarie danno in locazione le unità commerciali e abitative, la cui gestione è assicurata da altre società di tale gruppo, dette «società di servizi».

12

Nell’ambito delle loro attività commerciali, la DW e le società del gruppo da essa diretto trattano Dati personali dei locatari delle unità commerciali e abitative quali, ad esempio, prove dell’identità, dati fiscali, sociali e di assicurazione sanitaria di tali locatari, nonché informazioni sui precedenti contratti di locazione.

13

Il 23 giugno 2017, nell’ambito di un’ispezione in loco, la Berliner Beauftragte für den Datenschutz (autorità di controllo di Berlino, Germania; in prosieguo: l’«autorità di controllo») ha attirato l’attenzione della DW sul fatto che le società del suo gruppo conservavano documenti contenenti Dati personali dei locatari in un sistema di Archiviazione elettronica, che non consentiva di verificare se la conservazione fosse necessaria e di garantire che i dati non più necessari fossero cancellati.

14

L’autorità di controllo ha chiesto alla DW di sopprimere tali documenti dal suo sistema di Archiviazione elettronica entro la fine del 2017. In risposta a tale richiesta, la DW ha dichiarato che la soppressione non era possibile per ragioni tecniche e giuridiche.

15

A seguito di comunicazioni tra la DW e l’autorità di controllo circa la possibilità di sopprimere i documenti in questione, la DW ha informato tale autorità del suo intento di creare un nuovo sistema di Archiviazione in sostituzione di quello che conteneva detti documenti.

16

Il 5 marzo 2019, l’autorità di controllo ha effettuato una verifica presso la sede centrale del gruppo diretto dalla DW. In occasione di tale verifica, quest’ultima ha informato detta autorità che il sistema di Archiviazione elettronica controverso era già stato dismesso e che la migrazione dei dati verso il nuovo sistema di Archiviazione era imminente.

17

Con decisione del 30 ottobre 2019, l’autorità di controllo ha inflitto alla DW una sanzione amministrativa pecuniaria pari a EUR 14385000, per violazione dolosa dell’articolo 5, paragrafo 1, lettere a), c) ed e), nonché dell’articolo 25, paragrafo 1, del RGPD (in prosieguo: la «decisione di cui trattasi»). Con tale decisione, detta autorità ha inoltre inflitto alla DW altre 15 sanzioni pecuniarie di importo compreso tra EUR 3000 e EUR 17000 per violazione dell’articolo 6, paragrafo 1, del RGPD.

18

Nella decisione di cui trattasi l’autorità di controllo affermava, più in particolare, che la DW aveva dolosamente omesso, tra il 25 maggio 2018 e il 5 marzo 2019, di adottare le misure necessarie per consentire la regolare cancellazione dei Dati personali relativi ai locatari non più necessari o che, per altri motivi, erano stati erroneamente conservati. Essa rilevava altresì che la DW aveva continuato a conservare, senza che ciò fosse necessario, i Dati personali di almeno 15 locatari più specificamente identificati.

19

La DW ha proposto ricorso avverso tale decisione dinanzi al Landgericht Berlin (Tribunale del Land di Berlino, Germania). Tale giudice ha archiviato il procedimento ritenendo che la decisione di cui trattasi fosse affetta da vizi talmente gravi da non poter costituire il fondamento per l’applicazione di una sanzione pecuniaria.

20

Detto giudice ha rilevato, in particolare, che l’imposizione di una sanzione pecuniaria a una persona giuridica è disciplinata in modo tassativo dall’articolo 30 dell’OWiG, il quale, in forza dell’articolo 41, paragrafo 1, della legge federale sulla protezione dei dati, sarebbe applicabile alle violazioni di cui all’articolo 83, paragrafi da 4 a 6, del RGPD. Orbene, secondo tale articolo 30 dell’OWiG, un illecito amministrativo potrebbe essere constatato solo nei confronti di una persona fisica e non nei confronti di una persona giuridica. Inoltre, solo gli atti dei membri degli organi o dei rappresentanti della persona giuridica potrebbero essere imputati a quest’ultima. Benché detto articolo 30, paragrafo 4, consenta, a determinate condizioni, di avviare un procedimento amministrativo sanzionatorio autonomo nei confronti di una persona giuridica, ciò nondimeno anche in tal caso sarebbe necessario il previo accertamento di un illecito amministrativo a carico dei membri degli organi o dei rappresentanti della persona giuridica interessata.

21

La Staatsanwaltschaft Berlin (procura di Berlino) ha proposto ricorso avverso tale decisione dinanzi al Kammergericht Berlin (Tribunale superiore del Land di Berlino, Germania), giudice del rinvio.

22

Il giudice del rinvio si chiede, in primo luogo, se, ai sensi dell’articolo 83 del RGPD, sia possibile infliggere una sanzione amministrativa pecuniaria a una persona giuridica senza che la violazione del regolamento citato sia stata previamente imputata a una persona fisica identificata. In tale contesto, detto giudice si interroga in particolare sulla rilevanza della nozione di «impresa» ai sensi degli articoli 101 e 102 TFUE.

23

Al riguardo tale giudice spiega che, secondo una giurisprudenza nazionale, il regime di responsabilità limitata delle persone giuridiche vigente nel diritto nazionale sarebbe in contraddizione con il regime di responsabilità diretta delle imprese previsto dall’articolo 83 del RGPD. Secondo questa giurisprudenza, dalla formulazione dell’articolo 83 del RGPD, che conformemente al principio del primato del diritto dell’Unione prevale sul regime nazionale, risulterebbe in particolare la possibilità di imporre sanzioni amministrative pecuniarie alle imprese. Non vi sarebbe quindi necessità di ricollegare l’imposizione di tali sanzioni pecuniarie ad un atto doloso o colposo degli organi o dei dirigenti delle persone giuridiche, al contrario di quanto richiesto dal diritto nazionale applicabile.

24

Infatti, a parere di tale giudice la suddetta giurisprudenza, al pari della maggior parte della dottrina nazionale, attribuirebbe una particolare rilevanza alla nozione di «impresa» ai sensi degli articoli 101 e 102 TFUE, e quindi all’idea che la responsabilità è imputata all’entità economica all’interno della quale è stato posto in essere il comportamento indesiderato, ad esempio anticoncorrenziale. Secondo siffatta concezione «funzionale», tutti gli atti di tutti i dipendenti autorizzati ad agire in nome di un’impresa sarebbero imputabili all’impresa, anche nell’ambito dei procedimenti amministrativi.

25

In secondo luogo, nell’ipotesi in cui la Corte dovesse ritenere che sia possibile infliggere una sanzione amministrativa pecuniaria direttamente a una persona giuridica, il giudice del rinvio si chiede quali criteri debbano essere applicati per stabilire la responsabilità di una persona giuridica, in quanto impresa, per una violazione del RGPD. Esso desidera in particolare sapere se una sanzione amministrativa pecuniaria possa essere inflitta ai sensi dell’articolo 83 di tale regolamento a una persona giuridica, senza che sia accertato che la violazione di detto regolamento a questa imputata sia stata commessa in modo doloso o colposo.

26

In tali circostanze, il Kammergericht Berlin (Tribunale superiore del Land di Berlino) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

27

In seguito all’udienza di discussione tenutasi il 17 gennaio 2023 la DW, con atto depositato presso la cancelleria della Corte il 23 marzo 2023, ha chiesto che fosse disposta la riapertura della fase orale del procedimento, ai sensi dell’articolo 83 del regolamento di procedura della Corte.

28

A sostegno della sua domanda la DW afferma, in sostanza, che le risposte fornite dal giudice del rinvio alla richiesta di chiarimenti rivoltagli ai sensi dell’articolo 101 del regolamento di procedura fornirebbero alla Corte informazioni inesatte sulle disposizioni applicabili del diritto nazionale. Orbene, all’udienza del 17 gennaio 2023 non sarebbe stato possibile un dibattito esaustivo a tale proposito, dato che le parti sarebbero venute a conoscenza di dette risposte solo tre giorni lavorativi prima di tale udienza. In effetti, un simile termine non avrebbe consentito di preparare in modo approfondito l’udienza.

29

È vero che, conformemente all’articolo 83 del regolamento di procedura, la Corte, in qualsiasi momento, sentito l’avvocato generale, può disporre la riapertura della fase orale del procedimento, in particolare se essa non si ritiene sufficientemente edotta o quando, dopo la chiusura di tale fase, una parte ha prodotto un fatto nuovo tale da influenzare in modo decisivo la decisione della Corte, oppure quando la causa dev’essere decisa in base a un argomento che non è stato oggetto di discussione tra gli interessati.

30

Nel caso di specie, tuttavia, la Corte dispone di tutti gli elementi necessari per statuire e la presente causa non deve essere decisa sulla base di argomenti che non siano stati discussi dagli interessati. Inoltre, la domanda di riapertura della fase orale del procedimento non rivela alcun fatto nuovo tale da influenzare in modo decisivo la decisione che la Corte è chiamata ad adottare nella presente causa.

31

In tali circostanze la Corte, sentito l’avvocato generale, ritiene che non sia necessario disporre la riapertura della fase orale del procedimento.

32

Con la sua prima questione il giudice del rinvio chiede, in sostanza, se l’articolo 58, paragrafo 2, e l’articolo 83, paragrafi da 1 a 6, del RGPD debbano essere interpretati nel senso che essi ostano a una normativa nazionale in forza della quale una sanzione amministrativa pecuniaria può essere inflitta a una persona giuridica, nella sua qualità di Titolare del trattamento, per una violazione di cui ai paragrafi da 4 a 6 di tale articolo 83 solo a condizione che tale violazione sia stata previamente imputata a una persona fisica identificata.

33

In via preliminare occorre rilevare che, nelle sue osservazioni scritte, il governo tedesco ha espresso dubbi su tale interpretazione del diritto nazionale sviluppata dal giudice del rinvio, con la motivazione che l’articolo 130 dell’OWiG consente di imporre una sanzione pecuniaria a una persona giuridica anche al di fuori dei casi previsti dall’articolo 30 dell’OWiG. Inoltre, queste due disposizioni consentirebbero di applicare una sanzione pecuniaria cosiddetta «anonima» nei procedimenti avviati contro l’impresa, senza la necessità di identificare la persona fisica Responsabile della violazione in questione.

34

In risposta a una richiesta di chiarimenti rivolta al giudice del rinvio, menzionata al punto 28 della presente sentenza, quest’ultimo ha precisato che l’articolo 130 dell’OWiG non incide sulla prima questione proposta.

35

Infatti, secondo detto giudice tale disposizione riguarda il Titolare di un’azienda o di un’impresa, che deve essere venuto meno, in modo doloso o colposo, ad un obbligo di monitoraggio. La prova di una siffatta violazione di obblighi imputabili al Titolare dell’impresa, tuttavia, sarebbe oltremodo complessa e spesso impossibile da fornire e la questione se un gruppo di imprese possa essere qualificato come «impresa» o come «titolare di imprese» ai sensi di detta disposizione sarebbe controversa a livello nazionale. In ogni caso, la prima questione pregiudiziale sarebbe rilevante anche in tale contesto.

36

Occorre ricordare che, per quanto riguarda l’interpretazione delle disposizioni dell’ordinamento giuridico nazionale, la Corte è in linea di principio tenuta a fondarsi sulle qualificazioni riportate nella decisione di rinvio. Infatti, secondo una giurisprudenza costante, la Corte non è competente ad interpretare il diritto interno di uno Stato membro (sentenza del 26 gennaio 2021, Hessischer Rundfunk,C‑422/19 e C‑423/19, EU:C:2021:63, punto 31 e giurisprudenza ivi citata).

37

Pertanto, si deve rispondere alla prima questione pregiudiziale muovendo dalla premessa secondo cui, in forza del diritto nazionale applicabile, è possibile infliggere una sanzione amministrativa pecuniaria a una persona giuridica nella sua qualità di Titolare del Trattamento per una violazione di cui all’articolo 83, paragrafi da 4 a 6, del RGPD solo alle condizioni previste dall’articolo 30 dell’OWiG, quali illustrate dal giudice del rinvio.

38

Per rispondere a tale prima questione occorre innanzitutto rilevare che i principi, i divieti e gli obblighi stabiliti dal RGPD si rivolgono, in particolare, ai «titolari del trattamento» la cui responsabilità si estende, come sottolineato dal considerando 74 del RGPD, a qualsiasi Trattamento di Dati personali effettuato direttamente o che altri abbiano effettuato per loro conto, e che sono tenuti, a tale titolo, non solo a mettere in atto misure adeguate ed efficaci, ma anche ad essere in grado di dimostrare la conformità delle loro attività di Trattamento con il RGPD, compresa l’efficacia delle misure adottate per garantire una siffatta conformità. È tale responsabilità che, in caso di violazioni di cui all’articolo 83, paragrafi da 4 a 6, del regolamento citato, costituisce il fondamento per l’irrogazione di una sanzione amministrativa pecuniaria al Responsabile del Trattamento ai sensi di detto articolo 83.

39

L’articolo 4, punto 7, del RGPD definisce in senso ampio la nozione di «titolare del trattamento» come la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del Trattamento di dati personali.

40

L’obiettivo di tale ampia definizione dell’articolo 4, punto 7, del RGPD – che include espressamente le persone giuridiche – consiste, in conformità con quello del RGPD, nell’assicurare un’efficace protezione delle libertà e dei diritti fondamentali delle persone fisiche nonché, segnatamente, un elevato livello di protezione del diritto di ogni persona alla tutela dei Dati personali che la riguardano (v., in tale senso, sentenze del 29 luglio 2019, Fashion ID,C‑40/17, EU:C:2019:629, punto 66, e del 28 aprile 2022, Meta Platforms Ireland,C‑319/20, EU:C:2022:322, punto 73 nonché giurisprudenza ivi citata).

41

Inoltre, la Corte ha già dichiarato che ogni persona fisica o giuridica che, per scopi che le sono propri, influisca sul Trattamento di Dati personali e partecipi pertanto alla determinazione delle finalità e degli strumenti di tale Trattamento può essere considerata Titolare del Trattamento (v., in tal senso, sentenza del 10 luglio 2018, Jehovan todistajat,C‑25/17, EU:C:2018:551, punto 68).

42

Dalla formulazione e dalla finalità dell’articolo 4, punto 7, del RGPD si evince quindi che il legislatore dell’Unione non ha operato, ai fini della determinazione della responsabilità ai sensi del regolamento in esame, una distinzione tra persone fisiche e persone giuridiche; tale responsabilità è subordinata all’unica condizione che queste, da sole o insieme ad altri, determinino le finalità e gli strumenti del Trattamento di dati personali.

43

Pertanto, fatto salvo quanto previsto all’articolo 83, paragrafo 7, del RGPD relativamente alle autorità e agli organismi pubblici, ogni persona che soddisfi la suindicata condizione – indipendentemente dal fatto che si tratti di una persona fisica, di una persona giuridica, di un’autorità pubblica, di un servizio o di un altro organismo – è responsabile, in particolare, per qualsiasi violazione di cui al citato articolo 83, paragrafi da 4 a 6, commessa dalla stessa o per suo conto.

44

Per quanto riguarda le persone giuridiche ciò implica, da un lato, come rilevato, in sostanza, dall’avvocato generale ai paragrafi da 57 a 59 delle sue conclusioni, che queste sono responsabili non solo delle violazioni commesse dai loro rappresentanti, dirigenti o amministratori, ma anche da qualsiasi altra persona che agisca nell’ambito dell’attività commerciale di tali persone giuridiche e per loro conto. Dall’altro, le sanzioni amministrative pecuniarie previste dall’articolo 83 del RGPD in caso di siffatte violazioni devono poter essere inflitte direttamente alle persone giuridiche ove queste possano essere qualificate come titolari del Trattamento in questione.

45

Occorre poi rilevare che l’articolo 58, paragrafo 2, del RGPD stabilisce con precisione i poteri di cui dispongono le autorità di controllo in materia di adozione di provvedimenti correttivi, senza fare rinvio al diritto degli Stati membri né lasciare alcun margine di discrezionalità a questi ultimi. Orbene, da un lato, tali poteri, che includono, in forza del paragrafo 2, lettera i), di detto articolo 58, quello di infliggere una sanzione amministrativa pecuniaria, riguardano il Titolare del Trattamento e, dall’altro, come emerge dal punto 39 della presente sentenza, tale Titolare può essere tanto una persona fisica quanto una persona giuridica. Le condizioni sostanziali che un’autorità di controllo deve soddisfare nell’infliggere una simile sanzione pecuniaria sono, a loro volta, enunciate ai paragrafi da 1 a 6 di detto articolo 83 con precisione e senza lasciare alcun margine di discrezionalità agli Stati membri.

46

Dal combinato disposto dell’articolo 4, punto 7, dell’articolo 83 e dell’articolo 58, paragrafo 2, lettera i), del RGPD risulta quindi che una sanzione amministrativa pecuniaria per una violazione di cui a tale articolo 83, paragrafi da 4 a 6, può essere inflitta anche a persone giuridiche qualora queste abbiano la qualità di titolari del trattamento. Per contro, nessuna disposizione del RGPD consente di ritenere che l’irrogazione di una sanzione amministrativa pecuniaria a una persona giuridica, in quanto Titolare del trattamento, sia subordinata alla previa constatazione che tale violazione sia stata commessa da una persona fisica identificata.

47

È vero che dall’articolo 58, paragrafo 4, e dall’articolo 83, paragrafo 8, del RGPD, letti alla luce del considerando 129 di tale regolamento, risulta che l’esercizio, da parte di un’autorità di controllo, dei poteri attribuitile da tali articoli è soggetto a garanzie procedurali adeguate conformemente al diritto dell’Unione e degli Stati membri, inclusi il ricorso giurisdizionale effettivo e il giusto processo.

48

Tuttavia, il fatto che detto regolamento dia in tal modo agli Stati membri la facoltà di prevedere requisiti relativi alla procedura che le autorità di controllo devono seguire per infliggere una sanzione amministrativa pecuniaria non significa affatto che essi siano parimenti autorizzati a prevedere, oltre a simili requisiti di carattere procedurale, condizioni sostanziali supplementari rispetto a quelle stabilite da detto articolo 83, paragrafi da 1 a 6. Inoltre, il fatto che il legislatore dell’Unione si sia premurato di prevedere espressamente tale possibilità ma non di prevedere simili condizioni sostanziali supplementari conferma che a questo riguardo esso non ha lasciato agli Stati membri alcun margine di discrezionalità. Tali condizioni sostanziali ricadono quindi esclusivamente nel diritto dell’Unione.

49

L’interpretazione letterale dell’articolo 58, paragrafo 2, e dell’articolo 83, paragrafi da 1 a 6, del RGPD che precede è corroborata dalla finalità dello stesso regolamento.

50

Dal considerando 10 del RGPD risulta segnatamente che le disposizioni di quest’ultimo hanno, in particolare, l’obiettivo di garantire un livello coerente ed elevato di protezione delle persone fisiche riguardo al Trattamento dei Dati personali all’interno dell’Unione e, a tal fine, di assicurare un’applicazione coerente e omogenea delle norme a protezione delle libertà e dei diritti fondamentali di dette persone riguardo al Trattamento di tali dati in tutta l’Unione. I considerando 11 e 129 del RGPD sottolineano, inoltre, la necessità di assicurare, al fine di garantire un’applicazione coerente del regolamento in questione, che le autorità di controllo dispongano di poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei Dati personali e che possano infliggere sanzioni equivalenti per le violazioni di detto regolamento.

51

Orbene, consentire agli Stati membri di richiedere unilateralmente e quale condizione necessaria per imporre una sanzione pecuniaria amministrativa, ai sensi dell’articolo 83 del RGPD, a un Titolare del Trattamento che sia una persona giuridica, che la violazione in questione sia previamente imputata o imputabile a una persona fisica identificata sarebbe contrario a tale finalità del RGPD. Inoltre, un siffatto requisito supplementare rischierebbe, in definitiva, di indebolire l’efficacia e l’effetto dissuasivo delle sanzioni amministrative pecuniarie inflitte a persone giuridiche in quanto titolari del trattamento, in violazione dell’articolo 83, paragrafo 1, del RGPD.

52

A questo proposito va ricordato che l’articolo 288, secondo comma, TFUE prevede che un regolamento dell’Unione è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri il che esclude, salvo disposizione contraria, che gli Stati membri adottino disposizioni interne tali da incidere sulla portata di un simile regolamento. Inoltre, gli Stati membri sono tenuti, in forza degli obblighi derivanti dal Trattato FUE, a non ostacolare l’applicabilità diretta propria dei regolamenti. In particolare, essi non possono adottare atti che possano nascondere alle parti in causa la natura di diritto dell’Unione di una norma giuridica e gli effetti che ne derivano (sentenza del 15 novembre 2012, Al-Aqsa/Consiglio e Paesi Bassi/Al‑Aqsa, C‑539/10 P e C‑550/10 P, EU:C:2012:711, punti 86 e 87 nonché giurisprudenza ivi citata).

53

Infine, tenuto conto dei quesiti formulati dal giudice del rinvio, deve rilevarsi che la nozione di «impresa», ai sensi degli articoli 101 e 102 TFUE, non incide sulla questione se e a quali condizioni una sanzione amministrativa pecuniaria possa essere inflitta ai sensi dell’articolo 83 del RGPD a un Titolare del Trattamento che sia una persona giuridica, questione disciplinata in modo tassativo dall’articolo 58, paragrafo 2, e dall’articolo 83, paragrafi da 1 a 6, di tale regolamento.

54

La nozione in parola assume infatti rilievo solo in sede di determinazione dell’importo della sanzione amministrativa pecuniaria inflitta a un Titolare del Trattamento ai sensi dell’articolo 83, paragrafi da 4 a 6, del RGPD.

55

Come rilevato dall’avvocato generale al paragrafo 45 delle sue conclusioni, è in tale specifico contesto del calcolo delle sanzioni amministrative pecuniarie inflitte per violazioni di cui all’articolo 83, paragrafi da 4 a 6, del RGPD che va inquadrato il riferimento, effettuato al considerando 150 di tale regolamento, alla nozione di «impresa» ai sensi degli articoli 101 e 102 TFUE.

56

Al riguardo occorre sottolineare che, ai fini dell’applicazione delle norme in materia di concorrenza di cui agli articoli 101 e 102 TFUE, la nozione in questione comprende qualsiasi ente che eserciti un’attività economica, a prescindere dal suo status giuridico e dalle sue modalità di finanziamento. Essa si riferisce pertanto a un’unità economica anche qualora, sotto il profilo giuridico, tale unità economica sia costituita da più persone, fisiche o giuridiche. Detta unità economica consiste in un’organizzazione unitaria di elementi personali, materiali e immateriali che persegue stabilmente un determinato fine di natura economica (sentenza del 6 ottobre 2021, Sumal,C‑882/19, EU:C:2021:800, punto 41 e giurisprudenza ivi citata).

57

Pertanto, dall’articolo 83, paragrafi da 4 a 6, del RGPD, che si riferisce al calcolo delle sanzioni amministrative pecuniarie per le violazioni elencate in tali paragrafi, risulta che, nel caso in cui il Destinatario della sanzione amministrativa pecuniaria sia o faccia parte di un’impresa ai sensi degli articoli 101 e 102 TFUE, l’importo massimo della sanzione amministrativa pecuniaria è calcolato sulla base di una percentuale del fatturato mondiale totale annuo dell’esercizio precedente dell’impresa interessata.

58

In definitiva, come rilevato dall’avvocato generale al paragrafo 47 delle sue conclusioni, solo una sanzione amministrativa pecuniaria il cui importo sia determinato in funzione della capacità economica reale o materiale del suo destinatario, e quindi imposta dall’autorità di controllo sulla base, per quanto riguarda l’importo della stessa, della nozione di unità economica ai sensi della giurisprudenza citata al punto 56 della presente sentenza, può soddisfare le tre condizioni enunciate all’articolo 83, paragrafo 1, del RGPD, vale a dire essere allo stesso tempo effettiva, proporzionata e dissuasiva.

59

Pertanto quando un’autorità di controllo decide, in forza dei poteri attribuitile dall’articolo 58, paragrafo 2, del RGPD, di imporre a un Titolare del trattamento, che sia o faccia parte di un’impresa ai sensi degli articoli 101 e 102 TFUE, una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 di detto regolamento, tale autorità è tenuta a fondarsi, in forza di quest’ultima disposizione, letta alla luce del considerando 150 del medesimo regolamento, nel calcolare le sanzioni amministrative pecuniarie per le violazioni di cui ai paragrafi da 4 a 6 di tale articolo 83, sulla nozione di «impresa» ai sensi di tali articoli 101 e 102 TFUE.

60

Alla luce dei motivi che precedono, occorre rispondere alla prima questione dichiarando che l’articolo 58, paragrafo 2, lettera i), e l’articolo 83, paragrafi da 1 a 6, del RGPD devono essere interpretati nel senso che essi ostano a una normativa nazionale in forza della quale una sanzione amministrativa pecuniaria può essere inflitta a una persona giuridica, nella sua qualità di Titolare del trattamento, per una violazione di cui ai paragrafi da 4 a 6 di tale articolo 83 solo a condizione che tale violazione sia stata previamente imputata a una persona fisica identificata.

61

Con la sua seconda questione, posta nell’ipotesi di una risposta in senso affermativo alla prima questione, il giudice del rinvio chiede, in sostanza, se l’articolo 83 del RGPD debba essere interpretato nel senso che una sanzione amministrativa pecuniaria può essere inflitta ai sensi di tale disposizione solo qualora venga accertato che il Titolare del trattamento, che sia al contempo una persona giuridica e un’impresa, ha commesso, con dolo o colpa, una violazione di cui ai paragrafi da 4 a 6 di tale articolo.

62

In proposito, va ricordato che dall’articolo 83, paragrafo 1, del RGPD risulta che le sanzioni amministrative pecuniarie devono essere effettive, proporzionate e dissuasive. Per contro, l’articolo 83 del RGPD non precisa espressamente che le violazioni di cui ai paragrafi da 4 a 6 di tale articolo possano essere punite con una sanzione siffatta solo se commesse con dolo o, quanto meno, con colpa.

63

I governi tedesco, estone e norvegese nonché il Consiglio dell’Unione europea ne deducono segnatamente che il legislatore dell’Unione avrebbe inteso lasciare agli Stati membri un certo margine di discrezionalità nell’attuazione dell’articolo 83 del RGPD, consentendo loro di prevedere l’imposizione di sanzioni amministrative pecuniarie ai sensi di tale disposizione, eventualmente, senza che sia accertato che la violazione del RGPD punita con detta sanzione sia stata commessa con dolo o con colpa.

64

Una siffatta interpretazione dell’articolo 83 del RGPD non può essere accolta.

65

A tal riguardo, come constatato ai punti 45 e 48 della presente sentenza, le condizioni sostanziali che un’autorità di controllo deve rispettare nell’infliggere una sanzione amministrativa pecuniaria a un Titolare del Trattamento rientrano unicamente nel diritto dell’Unione; queste condizioni sono fissate, con precisione e senza lasciare agli Stati membri alcun margine di discrezionalità, all’articolo 83, paragrafi da 1 a 6, del RGPD (v., altresì, sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:XXX, punti da 64 a 70).

66

Per quanto riguarda le condizioni di cui trattasi deve rilevarsi che l’articolo 83, paragrafo 2, del RGPD elenca gli elementi in base ai quali l’autorità di controllo applica una sanzione amministrativa pecuniaria al Titolare del trattamento. Tra tali elementi rientra, alla lettera b) della disposizione in esame, «il carattere doloso o colposo della violazione». Invece, nessuno degli elementi elencati in detta disposizione indica una qualsiasi possibilità che il Titolare del Trattamento sia considerato Responsabile in assenza di un suo comportamento colpevole.

67

Inoltre, l’articolo 83, paragrafo 2, del RGPD deve essere letto in combinato disposto con il paragrafo 3 del medesimo articolo, il cui scopo è prevedere le conseguenze dei casi di cumulo di violazioni di tale regolamento e ai sensi del quale «[s]e, in relazione allo stesso Trattamento o a trattamenti collegati, un Titolare del Trattamento o un Responsabile del Trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

68

Dalla formulazione dell’articolo 83, paragrafo 2, del RGPD si evince quindi che solo le violazioni delle disposizioni di tale regolamento commesse in modo illecito dal Titolare del trattamento, ossia quelle commesse con dolo o colpa, possono comportare l’imposizione di una sanzione amministrativa pecuniaria nei confronti di quest’ultimo ai sensi di tale articolo.

69

L’impianto generale e la finalità del RGPD corroborano tale interpretazione.

70

Da un lato, il legislatore dell’Unione ha previsto un sistema di sanzioni che consente alle autorità di controllo di imporre le sanzioni più appropriate in base alle circostanze di ciascun caso.

71

Infatti, l’articolo 58 del RGPD prevede, al paragrafo 2, lettera i), che tali autorità possano infliggere le sanzioni amministrative pecuniarie, ai sensi dell’articolo 83 di tale regolamento, «in aggiunta» o «in luogo» degli altri provvedimenti correttivi elencati in tale articolo 58, paragrafo 2, quali avvertimenti, ammonimenti od ordini. Allo stesso modo, il considerando 148 di detto regolamento enuncia in particolare che, in caso di violazione minore o se la sanzione amministrativa pecuniaria che dovrebbe essere imposta costituisca un onere sproporzionato per una persona fisica, alle autorità di controllo è consentito astenersi dall’imporre una sanzione amministrativa pecuniaria e, in sua vece, pronunciare un ammonimento.

72

Dall’altro lato, come rilevato al punto 50 della presente sentenza, le disposizioni del RGPD hanno segnatamente l’obiettivo di garantire un livello coerente ed elevato di protezione delle persone fisiche riguardo al Trattamento dei Dati personali all’interno dell’Unione e, a tal fine, assicurare un’applicazione coerente ed omogenea delle norme a protezione delle libertà e dei diritti fondamentali di dette persone con riferimento al Trattamento di tali dati in tutta l’Unione. Inoltre, al fine di garantire un’applicazione coerente del regolamento in questione, le autorità di controllo devono disporre di poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali, in modo da poter infliggere sanzioni equivalenti per le violazioni di detto regolamento.

73

L’esistenza di un sistema sanzionatorio che, qualora le circostanze specifiche di ciascun caso lo giustifichino, consente di imporre una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 del RGPD crea, per i titolari del Trattamento e per i responsabili del trattamento, un incentivo a conformarsi a tale regolamento. Grazie al loro effetto dissuasivo, le sanzioni amministrative pecuniarie contribuiscono a rafforzare la protezione delle persone fisiche in relazione al Trattamento dei Dati personali e costituiscono pertanto un elemento chiave per garantire il rispetto dei diritti di tali persone, conformemente alla finalità del regolamento in esame di assicurare un livello elevato di protezione di dette persone riguardo al Trattamento dei dati personali.

74

Tuttavia, il legislatore dell’Unione non ha ritenuto necessario, per garantire un siffatto livello elevato di protezione, prevedere l’irrogazione di sanzioni amministrative pecuniarie in assenza di colpa. Dal momento che il RGPD mira a un livello di protezione al contempo equivalente e omogeneo e che esso, a tal fine, deve essere applicato in modo coerente in tutta l’Unione, sarebbe contrario a tale scopo consentire agli Stati membri di prevedere un simile regime per l’imposizione di una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 di detto regolamento. Siffatta libertà di scelta sarebbe, inoltre, tale da falsare la concorrenza tra gli operatori economici all’interno dell’Unione, il che sarebbe in contrasto con gli obiettivi espressi dal legislatore dell’Unione, segnatamente, ai considerando 9 e 13 di detto regolamento.

75

Di conseguenza, si deve rilevare che l’articolo 83 del RGPD non consente di infliggere una sanzione amministrativa pecuniaria per una violazione di cui ai suoi paragrafi da 4 a 6 senza che sia accertato che tale violazione è stata commessa con dolo o colpa dal Titolare del Trattamento e che, pertanto, una violazione illecita configura una condizione per l’imposizione di una siffatta ammenda.

76

Al riguardo occorre inoltre precisare, relativamente alla questione se una violazione sia stata commessa con dolo o colpa e sia perciò punibile con una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 del RGPD, che un Titolare del Trattamento può essere sanzionato per un comportamento ricadente nell’ambito di applicazione del RGPD qualora detto Titolare non potesse ignorare il carattere illecito del proprio comportamento, a prescindere dalla sua consapevolezza di violare le disposizioni del RGPD (v., per analogia, sentenze del 18 giugno 2013, Schenker & Co. e a., C‑681/11, EU:C:2013:404, punto 37 e giurisprudenza ivi citata; del 25 marzo 2021, Lundbeck/Commissione,C‑591/16 P, EU:C:2021:243, punto 156, e del 25 marzo 2021, Arrow Group e Arrow Generics/Commissione, C‑601/16 P, EU:C:2021:244, punto 97).

77

Quando il Titolare del Trattamento è una persona giuridica, va altresì precisato che l’applicazione dell’articolo 83 del RGPD non presuppone l’azione o quanto meno la consapevolezza da parte dell’organo di gestione di tale persona giuridica (v., per analogia, sentenze del 7 giugno 1983, Musique Diffusion française e a./Commissione, da 100/80 a 103/80, EU:C:1983:158, punto 97, nonché del 16 febbraio 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/Commissione,C‑94/15 P, EU:C:2017:124, punto 28 e giurisprudenza ivi citata).

78

Alla luce delle considerazioni che precedono, occorre rispondere alla seconda questione dichiarando che l’articolo 83 del RGPD deve essere interpretato nel senso che una sanzione amministrativa pecuniaria può essere inflitta ai sensi di tale disposizione solo qualora venga accertato che il Titolare del trattamento, che sia al contempo una persona giuridica e un’impresa, ha commesso, con dolo o colpa, una violazione di cui ai paragrafi da 4 a 6 di tale articolo.

79

Nei confronti delle parti nel procedimento principale la presente causa costituisce un Incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Grande Sezione) dichiara: