In data 17 agosto 2022, l’Autorità Garante per la Protezione dei Dati Personali francese (CNIL) ha comminato una sanzione amministrativa alla catena alberghiera AccorHotels di euro 600.000,00.
La catena alberghiera con sede principale in Francia è stata ritenuta responsabile di avere trattato illecitamente dati personali di diversi soggetti sia in Francia che presso altri Stati membri. Dalle indagini svolte dalla CNIL è emerso, tra l’altro, che la AccorHotels inviava le newsletter a destinatari di cui aveva illecitamente ottenuto il consenso degli interessati, nel corso di loro accessi al sito per effettuare prenotazioni, tramite il ricorso ad una casella preflaggata.
Inoltre sono state accertate diverse violazioni del GDPR: sia in merito alla informativa sul trattamento dei personali da rendere agli interessati; sia in relazione alla reiterata mancanza di risposta del gruppo Accor a diversi reclami presentati dai soggetti interessati (articoli 12, 13 e 21); inoltre è stata accertata la violazione dell’art. 32 del GDPR perché dalle indagini è emersa una carenza sulle misure di sicurezza adottate.
La CNIL, verificato che i trattamenti contestati coinvolgevano dati personali di soggetti che si trovano in Stati dell’UE, dove sono presenti sedi secondarie della catena alberghiera, ha attivato la procedura di cooperazione dal GDPR, coinvolgendo anche le Autorità Garanti degli Stati coinvolti; si è quindi attivata nel suo ruolo di autorità capofila, dando correttamente attuazione al meccanismo del “One Stop Shop”, previsto dagli articoli 60 e ss. del GDPR. nel Nel caso in questione, l’Autorità Garante Polacca, non ha condiviso il progetto delle conclusioni presentato dalla CNIL in relazione all’entità della sanzione da comminare alla catena alberghiera. È quindi intervenuta l’EDPB (European Data Protection Board) che ha emesso un parere vincolante, ai sensi dell’art. 65, paragrafo 1, lettera a) del GDPR, stabilendo che “il DPA francese deve tenere conto del fatturato di Accor SA dell’anno precedente, ovvero il 2021. Inoltre, l’EDPB ha deciso che, in considerazione del fatturato di Accor SA e del fatto che il caso riguarda violazioni sostanziali, la sanzione non è dissuasiva ai sensi dell’art. 83(1) GDPR. Per tale motivo, l’EDPB ha incaricato il Garante francese di rivalutare gli elementi su cui si è basata per calcolare l’importo della sanzione per soddisfare il criterio di dissuasività di cui all’art. 83(1) GDPR, tenendo conto, in particolare, del fatturato rilevante di Accor SA.
Tuttavia, contrariamente alla richiesta del Garante polacco, l’EDPB ha osservato che non è necessario che il Garante francese dimostri l’impatto dell’ammenda sulla redditività economica di ACCOR SA, poiché il Garante francese non ha basato una riduzione dell’ammenda sull’impossibilità del controllore di pagarlo. L’EDPB ha inoltre sottolineato il fatto che il fatturato costituisce già un’indicazione rilevante della situazione finanziaria di un’impresa. Pertanto, non occorre considerare la diminuzione del fatturato come un’attenuante ex art. 83(2)(k) GDPR. Ciò garantirà che le circostanze prese in considerazione nel calcolo dell’ammenda non vengano conteggiate due volte. A seguito della sua valutazione, l’EDPB ha incaricato il Garante francese di rivalutare la prevista sanzione amministrativa in conformità alle conclusioni raggiunte dal Board”.
Il meccanismo previsto dagli articoli 60 e ss del GDPR è volto ad evitare che Autorità nazionali siano incentivate ad adottare interpretazioni e applicazioni del GDPR favorevoli alle imprese in modo da attrarre sul proprio territorio gli investimenti collegati alla scelta del Paese come sede principale in UE.