Cinque step per armonizzare l’applicazione delle sanzioni in caso di violazioni del GDPR: l’EDPB con la bozza delle Linee guida 04/2022 offre ai garanti nazionali le indicazioni metodologiche per calcolare l’ammontare delle multe da comminare a chi non rispetta le norme sulla data protection, in modo che si seguano regole comuni. Uno scopo da subito evidente leggendo il testo, come sottolinea l’avvocata Anna Cataleta, partner di P4I: “Obiettivo dichiarato in apertura delle Linee guida è quello di armonizzare la metodologia applicata dalle autorità di vigilanza europee nel determinare l’importo delle sanzioni”. In particolare, l’EDPB individua cinque passaggi chiave per formulare la valutazione sull’ammontare della multa.
Il testo dal 16 maggio è in consultazione, si possono inviare commenti fino al 27 giugno 2022. Era molto atteso e ha una grande rilevanza perché punta a chiarire alcuni aspetti della disciplina sanzionatoria del GDPR. Come spiega l’avvocato Rocco Panetta di Panetta&Associati “il GDPR ha tanti meriti, molte luci e qualche ombra pesante. Una di queste è il meccanismo di coordinamento tra autorità in caso di questioni plurigiurisdizionali, cosi detto one stop shop, e il conseguente meccanismo di coerenza sanzionatoria. Qui la coerenza finora è rimasta una utopia”.
LEGGI le Guidelines 04/2022 dell’EDPB
Data Governance Act, via libera dal Consiglio UE alla nuova legge sul riutilizzo dei dati
Calcolo sanzioni GDPR, cosa dice l’EDPB
Come spiega l’EDPB nelle linee guida, l’importo delle sanzioni è a discrezione dell’autorità di vigilanza, che valuterà la cifra basandosi sulle indicazioni del GDPR. Il Regolamento prevede che la sanzione stabilita per ogni caso sia efficace, dissuasiva e proporzionata, come indicato nell’articolo 83, comma 1. Importante anche tenere conto, nel valutare l’ammontare della sanzione:
- Delle caratteristiche della violazione,
- la sua gravità
- Le caratteristiche dell’autore che ha commesso la violazione
“Nello specifico – commenta Cataleta – i tre elementi principali che le autorità di controllo devono prendere in considerazione per calcolare la pertinenza della sanzione sono: l’identificazione dell’infrazione per natura (ovvero in base alla violazione), la gravità dell’infrazione e il fatturato dell’azienda”.
Gli importi
Gli importi delle sanzioni, in generale, sono indicati dai commi 4,5 e 6 dell’articolo 83 del GDPR e variano da 10 – 20 milioni di euro al 2-4% del fatturato mondiale totale annuo, a seconda delle caratteristiche della violazione.
L’EDPB raccomanda di non superare i massimali previsti dal Regolamento europeo.
I cinque step per calcolare le sanzioni GDPR
Le Linee guida forniscono uno schema in cinque passaggi per aiutare le autorità a calcolare in maniera adeguata le sanzioni per le violazioni del GDPR, pur precisando che l’importo resta a discrezione delle autorità stesse. Si tratta “della parte più rilevante delle Linee guida perché fornisce criteri specifici per il calcolo della violazione tenendo conto, tra gli altri, della natura, ambito o finalità del trattamento, nonché del numero degli interessati e dell’entità di danno subito, del carattere intenzionale o negligente della violazione”, commenta Cataleta.
La metodologia proposta dall’EDPB prevede:
- L’identificazione delle operazioni di trattamento del caso specifico, con valutazione dell’applicazione dell’articolo 83, paragrafo 3, del GDPR
- individuazione del punto di partenza per calcolare l’importo dell’ammenda. Ciò avviene secondo i tre punti indicati in precedenza, cioè classificazione della violazione, gravità e fatturato del responsabile
- valutazione delle circostanze attenuanti e aggravanti del comportamento passato o presente del responsabile
- identificazione dei massimali previsti dalla legge per le diverse violazioni
- analisi per valutare se l’importo stabilito soddisfi i requisiti di efficacia, dissuasione e proporzionalità.
Aspetti critici
Per Cataleta, “se da un lato l’EDPB indica con estremo rigore i criteri di calcolo della sanzione, nella seconda parte le Linee guida sembrano meno incisive e rischiano quasi di vanificare l’intero valore del documento”. Ad esempio, nella sezione dedicata alla valutazione delle circostanze aggravanti e attenuanti legate al comportamento dell’azienda “si rileva una sezione eccessivamente generale e che forse si presta ad offrire troppa flessibilità alle autorità che sono chiamate a determinare sanzioni, decisive talvolta per determinare il futuro di un’azienda”.
L’impatto delle Linee guida EDPB sulle sanzioni per violazioni al GDPR
Le Linee guida sul calcolo delle sanzioni per violazioni del GDPR si sono rese necessarie per fornire una metodologia comune di valutazione delle somme da commicare. Considerando il contesto generale, “per certi versi è naturale che vi siano alcune asimmetrie di approccio nell’azione delle Authrotiy dovute alle fisiologiche differenze tra Paesi, sistemi giudiziari, cultura, sensibilità, sviluppo tecnologico del sistema paese, propensione al rispetto delle norme a priori o attesa del controllo a posteriori e via discorrendo, ma nel caso del GDPR finora si ha la sensazione che talune autorità siano andare avanti in ordine sparso”, ha sottolineato Panetta. Tuttavia, “sappiamo che non è così e che gli sforzi per avere posizioni comuni in seno all’EDPB sono molteplici e alcuni di questi sforzi hanno visto coronare con successo l’azione dei garanti, come ad esempio nel caso delle procedure avviate in Italia nei contorni di Tik Tok e portate all’attenzione di Bruxelles”.
Inoltre, prosegue Panetta, “avere dei criteri guida per l’irrogazione di sanzioni dovrebbe da un lato facilitare anche il nostro lavoro di interpreti, DPO e consiglieri nei riguardi dei nostri clienti e dall’altro permettere anche alle autorità di muoversi su terreni più solidi senza incorrere nel rischio di vedersi annullare dalle corti di merito il proprio provvedimento sanzionatorio per eccessiva onerosità della sanzione in senso apodittico senza l’indicazione da parte del tribunale dei criteri da seguire, come nel recente caso della sentenza Garante privacy vs Foodino”.