Al timore di subire una sanzione privacy non si accompagna tipicamente la previsione del quantum della possibile ammenda.
Basti pensare che la sanzione, per cui non è previsto un minimo edittale, a seconda del tipo di violazione può arrivare a un massimo di 10 o 20 milioni di euro o al 2% o 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore.
In concreto, il calcolo dell’importo della sanzione è a discrezione dell’autorità di controllo (in Italia il Garante Privacy), ovviamente nel rispetto delle norme previste dal Reg. UE 679/2016 GDPR.
Tuttavia, l’assenza di punti di partenza armonizzati come orientamento comune, sulla base dei quali calcolare le ammende amministrative nei singoli casi, impedisce un’applicazione e un’esecuzione coerenti del GDPR sul piano sanzionatorio.
Per questa ragione, il Comitato Europeo per la protezione dei dati (EDPB) ha adottato le Linee guida n. 4/2022 (in consultazione fino al 27/6/2022) con lo scopo di armonizzare la metodologia utilizzata dalle autorità nazionali per il calcolo delle sanzioni in ipotesi di violazioni privacy.
Conoscere il metodo usato per il calcolo delle sanzioni può essere utile per Titolari e Responsabili del trattamento per capire quali aspetti sono maggiormente considerati dalle autorità e, quindi, valutare l’effettivo rischio cui le loro violazioni della normativa sui dati personali li espongono.
Le Linee guida indicano una metodologia in 5 punti.
PASSO 1. IDENTIFICARE LE SINGOLE OPERAZIONI DI TRATTAMENTO
Il primo passo consiste nell’identificare le singole operazioni di trattamento e quali infrazioni sono state commesse.
Una singola condotta o più condotte collegate (percepite come tali da un osservatore esterno) potrebbero dare luogo:
- ad un’unica infrazione – ammenda calcolata sulla base di tale infrazione
- a più infrazioni – importo totale dell’ammenda non può superare l’importo previsto per l’infrazione più grave.
Le Linee guida chiariscono che, se è vero che l’ammenda non può essere superiore al massimo legale previsto per l’infrazione più grave, il trasgressore deve essere esplicitamente riconosciuto colpevole di avere violato più disposizioni e tutte le violazioni devono essere prese in considerazione per determinare l’effettivo importo dell’ammenda.
In altre ipotesi le autorità si trovano davanti ad una pluralità di azioni, che sono trattate congiuntamente solo perché sottoposte all’attenzione dell’autorità nello stesso momento; in questo caso non si applica l’art. 83 comma 3 GDPR e devono essere inflitte ammende separate che si sommeranno l’una all’altra.
PASSO 2. PUNTO DI PARTENZA PER IL CALCOLO
In primo luogo, l’autorità dovrà stabilire se si tratta di una infrazione che rientra tra le violazioni previste:
- dall’art. 83 comma 4 (ammenda massima di 10.000.000 di € o il 2% del fatturato mondiale);
- o dall’art. 83 commi 5-6 (ammenda massima di 20.000.000 di € o il 4% del fatturato mondiale).
L’autorità dovrà poi valutare:
- la gravità della violazione secondo i parametri dell’art. 83, comma 2 GDPR ovvero tenendo conto della natura e dell’ambito del trattamento, della finalità, del numero di interessati coinvolti, dell’entità del danno e della durata della violazione, del carattere intenzionale o negligente della violazione, della categoria di dati personali coinvolti.
Sulla base dei fattori elencati l’autorità di vigilanza può ritenere che la violazione sia di un livello di gravità BASSO, MEDIO o ALTO; a seconda del livello assegnato l’importo di partenza per il calcolo dell’ammenda sarà fissato in un preciso punto percentuale del massimo legale applicabile.
Al fine di stabilire il punto di partenza per il calcolo l’autorità deve però tenere in considerazione anche il fatturato dell’impresa coinvolta, così da rendere la sanzione effettivamente dissuasiva.
Potrebbe verificarsi pertanto che un livello di gravità basso porti comunque ad un’ammenda importante in considerazione di un fatturato alto dell’organizzazione interessata.
PASSO 3. CIRCOSTANZE ATTENUANTI O AGGRAVANTI
Per stabilire l’importo dell’ammenda le autorità di vigilanza devono tenere in considerazione:
- l’adozione di misure idonee a mitigare il danno subito dagli Interessati;
- il rispetto del principio di accountability ovvero fino a che punto il Titolare ha fatto tutto ciò che ci si poteva aspettare per rispettare gli obblighi imposti dal GDPR e le prove che è stato in grado di fornire in fase di accertamento della violazione;
- eventuali precedenti violazioni, il tempo trascorso e l’identità o meno dell’oggetto della violazione
- il modo con cui l’autorità è venuta a conoscenza dell’infrazione ovvero se il Titolare ha effettuato la notifica o meno se tenuto;
- se le misure già ordinate in ipotesi di una violazione simile sono state rispettate o meno
- l’adesione a codici di condotta o a meccanismi di certificazione approvati;
- qualsiasi altro fattore aggravante o attenuante applicabile alle circostanze del caso (art. 83, comma 2 lettera K) individuato, ad esempio, dalle Linee guida nell’eventuale vantaggio economico inteso sia come guadagno che come minori costi.
PASSO 4. GLI IMPORTI MASSIMI
Non possono essere superati gli importo massimi legali.
L’art. 83 prevede però un massimale statico (10.000.000 o 20.000.000 di €) ed uno dinamico (2% o 4% del fatturato mondiale).
Si applica il massimale dinamico solo se superiore a quello statico.
Viene chiarito anche il concetto di fatturato, inteso come l’importo derivato dalla vendita di prodotti o dalla prestazione di servizi al netto degli sconti sulle vendite, dell’imposta sul valore aggiunto e delle imposte dirette.
Le Linee guida ribadiscono inoltre che tutti gli atti compiuti o omessi da persone fisiche autorizzate al trattamento dei dati dal Titolare o dal Responsabile sono imputabili a questi ultimi e sono considerati atti e violazioni commesse direttamente dal Titolare o dal Responsabile.
PASSO 5. EFFICACIA, PROPORZIONALITA’, DISSUASIONE
Infine, le autorità devono valutare se l’importo determinato secondo i criteri illustrati sia efficace, proporzionato, dissuasivo.
Le autorità possono decidere di aumentare l’ammenda se, ad esempio, rilevano che in base alle circostanze del caso non sia dissuasiva.
In conclusione
Come evidente, gli orientamenti forniti dall’EDPB non risultano essere così specifici da consentire a un titolare o a un responsabile del trattamento di effettuare un calcolo matematico preciso dell’ammenda prevista. Ad ogni modo, l’EDPB prevede un’armonizzazione dei punti di partenza e della metodologia utilizzata per il calcolo dell’ammenda, piuttosto che un’armonizzazione dei risultati.
In ogni caso, le autorità di controllo – tra cui il nostro Garante Privacy – non sono obbligate a seguire tutte le fasi se non sono applicabili in un determinato caso, né a motivare gli aspetti delle Linee guida che non sono applicabili.
Infine, le Autorità Garanti, che nell’infliggere una sanzione sono tenute a motivare sufficientemente le loro conclusioni in conformità con il diritto nazionale e dell’UE, non possono limitarsi ad un semplice richiamo alle Linee guida dell’EDPB, il quale, dunque, non può mai sostituire la motivazione da fornire in un caso specifico.
