Corte di giustizia dell'Unione Europea
Quinta Sezione
Sentenza 13 febbraio 2025
Presidente: Jarukaitis - Relatore: Csehi
«Rinvio pregiudiziale - Protezione dei dati personali - Regolamento (UE) 2016/679 - Articolo 83, paragrafi da 4 a 6 e 9 - Nozione di "impresa" - Società madre e società figlia - Violazione di tale regolamento da parte di una società figlia - Calcolo dell'importo della sanzione pecuniaria - Presa in considerazione del fatturato complessivo del gruppo al quale tale società figlia appartiene».
Nella causa C-383/23, avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell'articolo 267 TFUE, dal Vestre Landsret (Corte regionale dell'Ovest, Danimarca), con decisione del 3 maggio 2023, pervenuta in cancelleria il 21 giugno 2023, nel procedimento penale a carico di ILVA A/S.
[...]
1. La domanda di pronuncia pregiudiziale verte sull'interpretazione dell'articolo 83, paragrafi da 4 a 6, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1, e rettifica in GU 2018, L 127, pag. 3; in prosieguo: il «RGPD»).
2. Tale domanda è stata presentata nell'ambito di un procedimento penale avviato dall'Anklagemyndigheden (pubblico ministero, Danimarca) nei confronti dell'ILVA A/S per asserite violazioni degli obblighi incombenti a tale società in forza del RGPD nella sua qualità di titolare del trattamento dei dati personali relativi ad ex clienti.
Contesto normativo
Diritto dell'Unione
3. I considerando 150 e 151 del RGPD sono formulati come segue:
«(150) Al fine di rafforzare e armonizzare le sanzioni amministrative applicabili per violazione del presente regolamento, ogni autorità di controllo dovrebbe poter imporre sanzioni amministrative pecuniarie. Il presente regolamento dovrebbe specificare le violazioni, indicare il limite massimo e i criteri per prevedere la relativa sanzione amministrativa pecuniaria, che dovrebbe essere stabilita dall'autorità di controllo competente in ogni singolo caso, tenuto conto di tutte le circostanze pertinenti della situazione specifica, in particolare della natura, gravità e durata dell'infrazione e delle relative conseguenze, nonché delle misure adottate per assicurare la conformità agli obblighi derivanti dal presente regolamento e prevenire o attenuare le conseguenze della violazione. Se le sanzioni amministrative sono inflitte a imprese, le imprese dovrebbero essere intese quali definite agli articoli 101 e 102 TFUE a tali fini. (...)
(151) I sistemi giudiziari di Danimarca ed Estonia non consentono l'irrogazione di sanzioni amministrative pecuniarie come previsto dal presente regolamento. Le norme relative alle sanzioni amministrative pecuniarie possono essere applicate in maniera tale che in Danimarca la sanzione pecuniaria sia irrogata dalle competenti autorità giurisdizionali nazionali quale sanzione penale e in Estonia la sanzione pecuniaria sia imposta dall'autorità di controllo nel quadro di una procedura d'infrazione, purché l'applicazione di tali norme in detti Stati membri abbia effetto equivalente alle sanzioni amministrative pecuniarie irrogate dalle autorità di controllo. Le competenti autorità giurisdizionali nazionali dovrebbero pertanto tener conto della raccomandazione dell'autorità di controllo che avvia l'azione sanzionatoria. In ogni caso, le sanzioni pecuniarie irrogate dovrebbero essere effettive, proporzionate e dissuasive».
4. L'articolo 5 del RGDP stabilisce i principi applicabili al trattamento dei dati personali.
5. L'articolo 6 del RGPD determina le condizioni alle quali un trattamento dei dati personali è considerato lecito.
6. L'articolo 58 del RGPD, intitolato «Poteri», al paragrafo 2 così recita:
«Ogni autorità di controllo ha tutti i poteri correttivi seguenti:
(...)
i) infliggere una sanzione amministrativa pecuniaria ai sensi dell'articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso;
(...)».
7. L'articolo 83 del RGPD, intitolato «Condizioni generali per infliggere sanzioni amministrative pecuniarie», ai paragrafi 1, 2, da 4 a 6 e 9, recita:
«1. Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive.
2. Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all'articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l'ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:
a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l'oggetto o [l]a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
b) il carattere doloso o colposo della violazione;
c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
f) il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
g) le categorie di dati personali interessate dalla violazione;
h) la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
i) qualora siano stati precedentemente disposti provvedimenti di cui all'articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
j) l'adesione ai codici di condotta approvati ai sensi dell'articolo 40 o ai meccanismi di certificazione approvati ai sensi dell'articolo 42; e
k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.
(...)
4. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore:
(...)
5. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore:
(...)
6. In conformità del paragrafo 2 del presente articolo, l'inosservanza di un ordine da parte dell'autorità di controllo di cui all'articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.
(...)
9. Se l'ordinamento giuridico dello Stato membro non prevede sanzioni amministrative pecuniarie, il presente articolo può essere applicato in maniera tale che l'azione sanzionatoria sia avviata dall'autorità di controllo competente e la sanzione pecuniaria sia irrogata dalle competenti autorità giurisdizionali nazionali, garantendo nel contempo che i mezzi di ricorso siano effettivi e abbiano effetto equivalente alle sanzioni amministrative pecuniarie irrogate dalle autorità di controllo. In ogni caso, le sanzioni pecuniarie irrogate sono effettive, proporzionate e dissuasive. Tali Stati membri notificano alla Commissione le disposizioni di legge adottate a norma del presente paragrafo al più tardi entro il 25 maggio 2018 e comunicano senza ritardo ogni successiva modifica».
Diritto danese
8. La lov nr. 502 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (legge n. 502 recante disposizioni complementari al [RGPD]), del 23 maggio 2018, al suo articolo 41 così dispone:
«1. Sempre che non sia giustificata una pena più severa in forza di un'altra legge, è punito con una sanzione pecuniaria o con la reclusione fino a sei mesi chiunque violi le disposizioni relative:
(...)
4) ai principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli da 5 a 7 e 9 del [RGPD];
(...)
3. Allorché viene inflitta una sanzione ai sensi dei paragrafi 1 e 2 occorre applicare l'articolo 83, paragrafo 2, del [RGPD].
(...)
6. Le società e a. (persone giuridiche) possono essere considerate penalmente responsabili ai sensi delle disposizioni di cui al capitolo 5 dello [straffeloven (codice penale)]. (...)».
Procedimento principale e questioni pregiudiziali
9. L'ILVA gestisce una catena di negozi di mobili e fa parte del gruppo Lars Larsen Group. Il fatturato totale del gruppo per l'esercizio 2016/2017 ammontava a 6,57 miliardi di corone danesi (DKK) (circa EUR 881 milioni) e il fatturato dell'ILVA ammontava a circa DKK 1,8 miliardi (circa EUR 241 milioni) per lo stesso esercizio.
10. L'ILVA è imputata in un procedimento dinanzi ai giudici danesi per essere venuta meno, nel periodo compreso tra il mese di maggio 2018 e il mese di gennaio 2019, agli obblighi ad essa incombenti in forza del RGPD nella sua qualità di titolare del trattamento dei dati personali nell'ambito della conservazione dei dati di almeno 350 000 ex clienti.
11. Su raccomandazione del Datatilsynet (Autorità per la protezione dei dati, Danimarca), il pubblico ministero ha chiesto di imporre all'ILVA una sanzione pecuniaria di DKK 1,5 milioni (circa EUR 201 000). Il calcolo di tale importo era basato non solo sul fatturato dell'ILVA, ma anche sul fatturato complessivo del gruppo Lars Larsen Group.
12. Con sentenza del 12 febbraio 2021, il retten i Aarhus (Tribunale di Aarhus, Danimarca) ha dichiarato l'ILVA colpevole dei fatti che le erano stati contestati e l'ha condannata al pagamento di una sanzione pecuniaria di DKK 100 000 (circa EUR 13 400). Tale giudice ha ritenuto che l'ILVA avesse agito per negligenza, contrariamente a quanto sostenuto dal pubblico ministero. Esso ha inoltre considerato che, nella misura in cui solo l'ILVA era imputata nel procedimento, non occorreva prendere in considerazione il fatturato del gruppo Lars Larsen Group per determinare l'importo della sanzione pecuniaria. Inoltre, esso ha rilevato che l'ILVA esercitava un'attività di vendita al dettaglio indipendente e che non era stata creata dalla società madre di tale gruppo al solo scopo di garantire il trattamento dei dati del gruppo.
13. Il pubblico ministero ha proposto appello contro tale sentenza dinanzi al Vestre Landsret (Corte regionale dell'Ovest, Danimarca), giudice del rinvio. Il pubblico ministero sostiene che il termine «impresa» di cui all'articolo 83, paragrafi da 4 a 6, del RGPD deve essere inteso nel senso che, per fissare una sanzione pecuniaria in caso di violazione del RGPD da parte di una società, occorre fare riferimento al fatturato del gruppo di cui fa parte tale società. Dal considerando 150 del RGPD si evincerebbe infatti che tale termine deve essere inteso a norma degli articoli 101 e 102 TFUE.
14. L'ILVA, per contro, ritiene che, per fissare una sanzione pecuniaria per violazione del RGPD da parte di una società, non occorra prendere in considerazione il fatturato complessivo del gruppo di cui essa fa parte. Nel caso di specie, sarebbero stati avviati procedimenti nei confronti dell'ILVA, e non anche contro la società madre di quest'ultima.
15. Il giudice del rinvio ritiene che la risposta a tale questione non emerga dal RGPD in modo chiaro.
16. In tali circostanze, il Vestre Landsret (Corte regionale dell'Ovest) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se il termine "impres[a]" di cui all'articolo 83, paragrafi da 4 a 6, del [RGPD], debba essere inteso nel significato di impresa ai sensi degli articoli 101 e 102 TFUE, in combinato disposto con il considerando 150 [del RGPD], e della giurisprudenza della Corte in materia di diritto della concorrenza dell'Unione, nel senso che il termine "impresa" ricomprende qualsiasi entità che eserciti un'attività economica, a prescindere dal suo status giuridico e dalle sue modalità di finanziamento.
2) In caso di risposta affermativa alla prima questione, se l'articolo 83, paragrafi da 4 a 6, del [RGPD] debba essere interpretato nel senso che, nell'infliggere una sanzione pecuniaria a un'impresa, si deve tenere conto del fatturato mondiale totale annuo dell'entità economica di cui l'impresa fa parte, o soltanto del fatturato mondiale totale annuo dell'impresa stessa».
Sulle questioni pregiudiziali
17. Con le sue questioni, che occorre esaminare congiuntamente, il giudice del rinvio chiede, in sostanza, se l'articolo 83, paragrafi da 4 a 6, del RGPD, letto alla luce del considerando 150 di tale regolamento, debba essere interpretato nel senso che il termine «impresa», di cui a tali disposizioni, corrisponde alla nozione di «impresa», ai sensi degli articoli 101 e 102 TFUE, cosicché, nel caso in cui sia inflitta una sanzione pecuniaria per violazione del RGPD a un titolare del trattamento di dati personali, che è o fa parte di un'impresa, l'importo della sanzione pecuniaria è determinato sulla base di una percentuale del fatturato mondiale totale annuo dell'esercizio precedente dell'impresa, ai sensi di tali articoli 101 e 102.
18. Innanzitutto, occorre rilevare che la Corte ha già avuto occasione di fornire risposte a talune questioni relative all'interpretazione dell'articolo 83 del RGPD nella sentenza del 5 dicembre 2023, Deutsche Wohnen (C-807/21, EU:C:2023:950, punti da 53 a 59), pronunciata dopo la chiusura della fase scritta del procedimento nella presente causa.
19. La Corte ha stabilito che la nozione di «impresa», ai sensi degli articoli 101 e 102 TFUE, non incide sulla questione se e a quali condizioni una sanzione amministrativa pecuniaria possa essere inflitta ai sensi dell'articolo 83 del RGPD a un titolare del trattamento che sia una persona giuridica, questione disciplinata in modo tassativo dall'articolo 58, paragrafo 2, e dall'articolo 83, paragrafi da 1 a 6, di tale regolamento (sentenza del 5 dicembre 2023, Deutsche Wohnen, C-807/21, EU:C:2023:950, punto 53).
20. La nozione in parola assume infatti rilievo solo in sede di determinazione dell'importo della sanzione amministrativa pecuniaria inflitta a un titolare del trattamento ai sensi dell'articolo 83, paragrafi da 4 a 6, del RGPD (sentenza del 5 dicembre 2023, Deutsche Wohnen, C-807/21, EU:C:2023:950, punto 54).
21. È in tale specifico contesto del calcolo delle sanzioni amministrative pecuniarie inflitte per violazioni di cui all'articolo 83, paragrafi da 4 a 6, del RGPD che va inquadrato il riferimento, effettuato al considerando 150 di tale regolamento, alla nozione di «impresa» ai sensi degli articoli 101 e 102 TFUE (sentenza del 5 dicembre 2023, Deutsche Wohnen, C-807/21, EU:C:2023:950, punto 55).
22. Al riguardo occorre sottolineare che, ai fini dell'applicazione delle norme in materia di concorrenza di cui agli articoli 101 e 102 TFUE, la nozione in questione comprende qualsiasi ente che eserciti un'attività economica, a prescindere dal suo status giuridico e dalle sue modalità di finanziamento. Essa si riferisce pertanto a un'unità economica anche qualora, sotto il profilo giuridico, tale unità economica sia costituita da più persone, fisiche o giuridiche. Detta unità economica consiste in un'organizzazione unitaria di elementi personali, materiali e immateriali che persegue stabilmente un determinato fine di natura economica (sentenza del 5 dicembre 2023, Deutsche Wohnen, C-807/21, EU:C:2023:950, punto 56 e giurisprudenza ivi citata).
23. Pertanto, dall'articolo 83, paragrafi da 4 a 6, del RGPD, che si riferisce al calcolo delle sanzioni amministrative pecuniarie per le violazioni elencate in tali paragrafi, risulta che, nel caso in cui il destinatario della sanzione amministrativa pecuniaria sia o faccia parte di un'impresa ai sensi degli articoli 101 e 102 TFUE, l'importo massimo della sanzione amministrativa pecuniaria è calcolato sulla base di una percentuale del fatturato mondiale totale annuo dell'esercizio precedente dell'impresa interessata (sentenza del 5 dicembre 2023, Deutsche Wohnen, C-807/21, EU:C:2023:950, punto 57).
24. Tuttavia, la determinazione di tale importo massimo deve essere distinta dal calcolo stesso dell'importo di una sanzione pecuniaria che l'autorità di controllo competente deve infliggere per la o le violazioni specifiche del RGPD che tale sanzione pecuniaria punisce.
25. Pertanto, in forza dell'articolo 83, paragrafo 1, del RGPD, ciascuna autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte in forza di tale articolo 83 per le violazioni del RGPD di cui ai paragrafi da 4 a 6 di quest'ultimo siano, in ciascun caso, effettive, proporzionate e dissuasive.
26. Oltre al rispetto di queste tre condizioni, il paragrafo 2 di tale articolo 83 esige che l'autorità di controllo competente, al fine di decidere se infliggere una sanzione amministrativa pecuniaria e fissare l'importo di quest'ultima, tenga debitamente conto, in ciascun caso di specie, di un certo numero di elementi.
27. Tra tali elementi figurano, conformemente a quest'ultima disposizione, in particolare la natura, la gravità e la durata della violazione, il numero di interessati lesi dal danno e il livello del danno da essi subito, il carattere doloso o colposo della violazione, le misure adottate dal titolare del trattamento dei dati personali o dal responsabile di tale trattamento per attenuare il danno subito, il grado di responsabilità di tale titolare o di tale responsabile e le categorie di dati personali interessate dalla violazione.
28. Detti elementi caratterizzano o il comportamento di detto titolare o di detto responsabile, accusato di violazioni di talune disposizioni del RGPD, oppure le violazioni stesse. Essi servono quindi a garantire che ciascuna di tali violazioni sia valutata sulla base di tutte le circostanze individuali pertinenti e che gli obiettivi perseguiti dal sistema sanzionatorio previsto dal RGPD siano raggiunti.
29. Sebbene tali elementi non facciano riferimento alla nozione di impresa ai sensi degli articoli 101 e 102 TFUE, la Corte ha già dichiarato che solo una sanzione pecuniaria che tiene conto non solo di tutti gli elementi che caratterizzano in tal modo le violazioni constatate del RGPD, ma anche, se del caso, della capacità economica reale o materiale del suo destinatario può soddisfare le tre condizioni enunciate all'articolo 83, paragrafo 1, del RGPD, vale a dire essere allo stesso tempo effettiva, proporzionata e dissuasiva. Orbene, per valutare tali condizioni, occorre tener conto della questione se tale destinatario faccia parte di un'impresa, ai sensi degli articoli 101 e 102 TFUE (v., in tal senso, sentenza del 5 dicembre 2023, Deutsche Wohnen, C-807/21, EU:C:2023:950, punto 58).
30. L'interpretazione dell'articolo 83 del RGPD risultante dai punti da 25 a 29 della presente sentenza è parimenti applicabile quando le violazioni constatate del RGPD non sono punite con una sanzione amministrativa pecuniaria, bensì con una sanzione pecuniaria inflitta dai giudici nazionali competenti a titolo di sanzione penale.
31. Come indicato al considerando 151 del RGPD, alcuni ordinamenti giuridici nazionali, tra cui quello del Regno di Danimarca, non consentono l'irrogazione di sanzioni amministrative pecuniarie come previsto dal RGPD.
32. Per disciplinare tale fattispecie, l'articolo 83, paragrafo 9, del RGPD dispone che, se l'ordinamento giuridico di uno Stato membro non prevede sanzioni amministrative pecuniarie, tale articolo 83 può essere applicato in maniera tale che, come nel caso di specie, l'azione sanzionatoria sia avviata dall'autorità di controllo competente e la sanzione pecuniaria sia irrogata dalle competenti autorità giurisdizionali nazionali.
33. Viene inoltre precisato, a tale articolo 83, paragrafo 9, così come al considerando 151 di tale regolamento, che è necessario che i mezzi di ricorso in questione siano effettivi e abbiano effetto equivalente alle sanzioni amministrative pecuniarie irrogate dalle autorità di controllo e che, in ogni caso, le sanzioni pecuniarie irrogate siano effettive, proporzionate e dissuasive.
34. Ciò premesso, il fatto che la sanzione pecuniaria sia inflitta da un giudice penale nell'ambito di un procedimento penale implica che tale giudice debba rispettare in qualsiasi momento le norme applicabili in materia penale, tra cui, più in particolare, i diritti processuali di cui beneficia l'imputato e il principio di proporzionalità della pena, come garantiti dalla Carta dei diritti fondamentali dell'Unione europea.
35. A tale proposito, come indicato dall'avvocata generale al paragrafo 74 delle sue conclusioni, l'articolo 83 del RGPD esige che le autorità di controllo competenti debbano, senza eccezioni, assicurare il rispetto del principio di proporzionalità nel calcolo dell'importo concreto della sanzione pecuniaria inflitta, per raggiungere un giusto equilibrio tra le esigenze dell'interesse generale ai fini della protezione dei dati personali e quelle della tutela dei diritti del titolare del trattamento di tali dati, del responsabile di tale trattamento o dell'impresa di cui essi fanno parte. Ne consegue che un'applicazione della nozione di «impresa», ai sensi degli articoli 101 e 102 TFUE, nell'ambito dell'attuazione dell'articolo 83, paragrafi da 4 a 6, del RGPD non sembra scontrarsi con ostacoli di principio quando le violazioni del RGPD sono sanzionate non già con sanzioni pecuniarie amministrative, bensì con sanzioni pecuniarie inflitte da giudici penali.
36. Alla luce delle considerazioni che precedono, occorre rispondere alle questioni sollevate dichiarando che l'articolo 83, paragrafi da 4 a 6, del RGPD, letto alla luce del considerando 150 di tale regolamento, deve essere interpretato nel senso che il termine «impresa», di cui a tali disposizioni, corrisponde alla nozione di «impresa», ai sensi degli articoli 101 e 102 TFUE, cosicché, quando viene inflitta una sanzione pecuniaria per violazione del RGPD a un titolare del trattamento di dati personali, che è o fa parte di un'impresa, l'importo massimo della sanzione pecuniaria è determinato sulla base di una percentuale del fatturato mondiale totale annuo dell'esercizio precedente dell'impresa. La nozione di «impresa» deve altresì essere presa in considerazione per valutare la capacità economica reale o materiale del destinatario della sanzione pecuniaria e verificare così se la sanzione pecuniaria sia al contempo effettiva, proporzionata e dissuasiva.
Sulle spese
37. Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
P.Q.M.
la Corte (Quinta Sezione) dichiara:
L'articolo 83, paragrafi da 4 a 6, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), letto alla luce del considerando 150 di tale regolamento, deve essere interpretato nel senso che il termine «impresa», di cui a tali disposizioni, corrisponde alla nozione di «impresa», ai sensi degli articoli 101 e 102 TFUE, cosicché, quando viene inflitta una sanzione pecuniaria per violazione del regolamento 2016/679 a un titolare del trattamento di dati personali, che è o fa parte di un'impresa, l'importo massimo della sanzione pecuniaria è determinato sulla base di una percentuale del fatturato mondiale totale annuo dell'esercizio precedente dell'impresa. La nozione di «impresa» deve altresì essere presa in considerazione per valutare la capacità economica reale o materiale del destinatario della sanzione pecuniaria e verificare così se la sanzione pecuniaria sia al contempo effettiva, proporzionata e dissuasiva.