Compliance e sanzioni GDPR: sito web in manutenzione e responsabilità del titolare del trattamento

Recentemente la Corte di Cassazione (Cassazione civile sez. II, 20/09/2023, n. 26864) ha ribadito alcuni importanti punti di arrivo in tema di violazioni GPDR. In particolare, gli Ermellini hanno confermato la sanzione che era stata irrogata dal Garante ad una società che nelle proprie memorie difensive aveva sostenuto che la mancanza dell’informativa sul trattamento dei dati personali dei visitatori del sito internet era dovuta ad un malfunzionamento del proprio sito web, in attesa di rifacimento da parte di una società esterna.

👉 E’ costantemente affermato dalla giurisprudenza di legittimità che in tema di violazioni amministrative “per integrare l’elemento soggettivo dell’illecito è sufficiente la semplice colpa, per cui l’errore sulla liceità della relativa condotta, correntemente indicato come “buona fede”, può rilevare in termini di esclusione della responsabilità amministrativa, al pari di quanto avviene per la responsabilità penale in materia di contravvenzioni, solo quando esso risulti inevitabile (…)”.

👉  Nel caso di specie, secondo gli Ermellini correttamente il Tribunale di Milano aveva ritenuto che l’affidamento alla società esterna dell’incarico di rifacimento del sito non costituisse elemento positivo sufficiente per escludere la responsabilità della società, unico soggetto tenuto all’obbligo di comunicazione dell’informativa privacy rispetto alla propria clientela.