GDPR, come calcolare le sanzioni: le linee guida EDPB

Le linee guida 04/2022 adottate dall’EDPB il 12 maggio 2022 sono in consultazione pubblica dal 16 maggio al 27 giugno di quest’anno, data entro cui potranno pervenire eventuali commenti: si tratta di un testo dall’impatto rilevante, che punta ad armonizzare la metodologia per il calcolo delle sanzioni in caso di violazioni del GDPR.

 

Ci sono cinque step per armonizzare l’applicazione delle sanzioni in caso di violazioni del GDPR: l’EDPB con la bozza delle linee guida 04/2022 offre ai garanti nazionali le indicazioni metodologiche per calcolare l’ammontare delle multe da comminare a chi non rispetta le norme sulla data protection, in un modo che si seguano regole comuni.

Uno scopo da subito evidente leggendo il testo, come sottolinea l’avvocata Anna Cataleta, partner di P4I:

“Obiettivo dichiarato in apertura delle linee guida è quello di armonizzare la metodologia applicata dalle autorità di vigilanza europee nel determinare l’importo delle sanzioni.”

 

In particolare, l’EDPB individua cinque passaggi chiave per formulare la valutazione sull’ammontare della multa.

Il testo era molto atteso e ha una grande rilevanza perché punta a chiarire alcuni aspetti della disciplina sanzionatoria del GDPR.

Come spiega l’avvocato Rocco Panetta di Panetta&Associati:

“Il GDPR ha tanti meriti, molte luci e qualche ombra pesante. Una di queste è il meccanismo di coordinamento tra autorità in caso di questioni plurigiurisdizionali, così detto one stop shop, e il conseguente meccanismo di coerenza sanzionatoria. Qui la coerenza finora è rimasta un’utopia.”

 

Calcolo sanzioni GDPR, cosa dice l’EDPB

L’importo delle sanzioni è a discrezione delle autorità di vigilanza, che valuterà la cifra basandosi sulle indicazioni del GDPR.

Il Regolamento prevede che la sanzione stabilita per ogni caso sia efficace, dissuasiva e proporzionata, come indicato nell’art. 83, comma 1.

Importante anche tenere conto nel valutare l’ammontare della sanzione:

  • delle caratteristiche della violazione
  • la sua gravità
  • le caratteristiche dell’autore che ha commesso la violazione

 

“Nello specifico – commenta Cataleta – i tre elementi principali che le autorità di controllo devono prendere in considerazione per calcolare la pertinenza della sanzione sono: l’identificazione dell’infrazione per natura (ovvero in base alla violazione), la gravità dell’infrazione e il fatturato dell’azienda.”

 

Gli importi

Gli importi delle sanzioni, in generale, sono indicati dai commi 4, 5 e 6 dell’art. 83 del GDPR e variano da 10 – 20 milioni di euro al 2-4% del fatturato mondiale totale annuo, a seconda delle caratteristiche della violazione.

L’EDPB raccomanda di non superare i massimali previsti dal Regolamento europeo.

 

I cinque step per calcolare le sanzioni GDPR

Le linee guida forniscono uno schema in cinque passaggi per aiutare le autorità a calcolare in maniera adeguata le sanzioni per le violazioni del GDPR, pur precisando che l’importo resta a discrezione delle autorità stesse. Si tratta “della parte più rilevante delle linee guida perché fornisce criteri specifici per il calcolo della violazione tenendo conto, tra gli altri, della natura, in ambito o finalità del trattamento, nonché del numero degli interessati e dell’entità di danno subito, del carattere intenzionale o negligente della violazione”, commenta Cataleta.

 

La metodologia proposta dall’EDPB prevede:

  • L’identificazione delle operazioni di trattamento del caso specifico, con valutazione dell’applicazione dell’art. 83, paragrafo 3, del GDPR
  • Individuazione del punto di partenza per calcolare l’importo dell’ammenda. Ciò avviene secondo i tre punti indicati prima.
  • Valutazione delle circostanze attenuanti e aggravanti del comportamento passato o presente del responsabile
  • Identificazione dei massimali previsti dalla legge per le diverse violazioni
  • Analisi per valutare se l’importo stabilito soddisfi i requisiti di efficacia, dissuasione e proporzionalità

 

Aspetti critici

Per Cataleta

“Se da un lato l’EDPB indica con estremo rigore i criteri di calcolo della sanzione, nella seconda parte le linee guida sembrano meno incisive e rischiano quasi di vanificare l’intero valore del documento.”

Ad esempio, nella sezione dedicata alla valutazione delle circostanze aggravanti e attenuanti legate al comportamento dell’azienda “si rileva una sezione eccessivamente generale e che forse si presta ad offrire troppa flessibilità alle autorità che sono chiamate a determinare sanzioni, decisive talvolta per determinare il futuro di un’azienda”.

 

L’impatto delle linee guida EDPB sulle sanzioni per violazioni al GDPR

Le linee guida sul calcolo delle sanzioni per violazioni del GDPR si sono rese necessarie per fornire una metodologia comune di valutazione delle somme da commicare. Considerando il contesto generale “per certi versi è naturale che vi siano alcune asimmetrie di approccio nell’azione delle Authority dovute alle fisiologiche differenze tra Paesi, sistemi giudiziari, cultura, sensibilità, sviluppo tecnologico del sistema paese, propensione al rispetto delle norme a priori o attesa del controllo a posteriori e via discorrendo, ma nel caso del GDPR finora si ha la sensazione che talune autorità siano andate avanti in ordine sparso”, ha sottolineato Panetta.

 

Tuttavia, “sappiamo che non è così e che gli sforzi per avere posizioni comuni in seno all’EDPB sono molteplici e alcuni di questi sforzi hanno visto coronare con successo l’azione dei garanti, come ad esempio nel caso delle procedure avviate in Italia nei contorni di TikTok e portare all’attenzione di Bruxelles”.

 

Inoltre, prosegue Panetta

“Avere dei criteri guida per l’irrogazione di sanzioni dovrebbe da un lato facilitare anche il nostro lavoro di interpreti, DPO e consiglieri nei riguardi dei nostri clienti e dall’altro permettere anche alle autorità di muoversi su terreni più solidi senza incorrere nel rischio di vedersi annullare dalle corti di merito il proprio provvedimento sanzionatorio per eccessiva onerosità della sanzione in senso apodittico senza l’indicazione da parte del tribunale dei criteri da seguire, come nel recente caso della sentenza Garante privacy vs Foodino.”

Condividi