Il Regolamento Generale sulla protezione dei dati ha avuto un effetto Esposito soprattutto per l’introduzione del sistema sanzionatorio: fino a 20 milioni di euro e fino al 4% del fatturato. Dal 2018 i Garanti europei hanno applicato le sanzioni, nel rispetto delle regole del Regolamento stesso, ma ognuna con una propria interpretazione della norma e un proprio giudizio.
Il risultato ne è stato di una varietà di sanzioni anche, a volte, per condotte similari o omogenee. L’applicazione del Regolamento ha evidenziato la necessità di uniformare le regole per il calcolo delle sanzioni per evitare – o limitare – disparità di trattamento a parità di situazioni (si veda risoluzione del Parlamento europeo del 25/3/2021).
Per questo scopo l’European Data Protection Board ha emanato una nuova Linea Guida per il calcolo delle sanzioni Privacy.
Un interessante documento che può diventare strategico anche per imprese e consulenti.
Spesso, infatti, in presenza di situazioni “borderline” o di potenziale rischio di infrazione il dubbio è sempre: “ma nel caso quanto potrebbe costare in termini di sanzione per il titolare del trattamento?”. La risposta a questa domanda, sulla sola base dei soli criteri del Regolamento porta una forbice di importi estremamente ampia e vaga, ma con le indicazioni proposte dovrebbe essere possibile dare indicazioni un po’ più precise.
Non è detto, però, che per il Regolamento sia un elemento positivo. L’indeterminatezza delle sanzioni è uno strumento usato dal legislatore per dare maggiore efficacia al sistema sanzionatorio e attribuire un maggiore effetto deterrente (come nel caso delle sanzioni del D.Lgs. 231/2008).
Indice
Cosa prevede il sistema sanzionatorio del GDPR
Quando si parla di violazioni, è necessario chiarire come il GDPR disciplini esclusivamente le sanzioni amministrative. Il Regolamento europeo stabilisce infatti, all’articolo 84, che ciascuno Stato disciplina autonomamente le sanzioni penali. Nel caso dell’Italia, infatti, si è scelto di mantenere in vigore le sanzioni penali già previste dal Codice della privacy rivisto dal d. lgs. n. 101/2018, ma che non interessa in questa sede.
Il Gdpr individua due gruppi di sanzioni.
La prima fascia riguarda le violazioni degli adempimenti previsti a carico dei titolari e responsabili di trattamento per un numero vastissimo di obblighi che il Regolamento considera “come meno gravi”. Tra questi, ad esempio assenza di nomina del DPO se necessario, mancata notifica di un data breach, con un massimo della sanzione: 10 milioni di euro o, per le imprese, il 2% del fatturato mondiale annuo.
La seconda fascia riguarda le violazioni dei principi del trattamento e dei diritti degli interessati. Si tratta, quindi, di infrazioni ai punti più rilevanti e strategici del Regolamento, per questo è prevista una sanzione massima di 20 milioni di euro o, per le imprese, il 4% del fatturato mondiale annuo. La conseguenza è che la discrezionalità nell’applicare la sanzione è illimitata: si può andare da zero a cifre astronomiche. Tanta indeterminatezza sconfina nella imprevedibilità della sanzione.
Il GDPR non prevede un valore minimo per la sanzione, che pertanto dovrà essere commisurata dall’Autorità Garante sulla base dei criteri di efficacia, dissuasività e proporzionalità.
Sempre l’articolo 83, poi, prevede numerosi criteri che devono orientare il Garante nella quantificazione della sanzione. Tra questi si segnala, ad esempio, la valutazione del grado di responsabilità del titolare, anche tenendo conto delle misure tecniche e organizzative adottate ai sensi degli articoli 25 e 32.
Interessante, poi, il criterio della collaborazione con l’Autorità ovvero il carattere negligente delle condotte nel corso del procedimento a cui lo stesso Garante italiano da grande attenzione nella valutazione dei fatti e nella quantificazione delle sanzioni (si veda per tutte Ordinanza ingiunzione nei confronti di Enel Energia S.p.a. – 16 dicembre 2021 [9735672] ).
I contenuti delle Linee Guida sul calcolo delle sanzioni.
Ma è superfluo dire che l’apparato sanzionatorio è un elemento centrale del GDPR, anche per questo motivo la decisione di intervenire dell’European Data Protection Borard (EDPB).
Infatti, l’EDPB ha emanato le Linee guida 04/2022 che sono in consultazione sino al 27 giugno, proprio al fine di armonizzare la metodologia per il calcolo delle sanzioni in caso di violazioni del GDPR e rendere il sistema ancor più efficace ed efficiente
Il cuore delle Linee Guida è il flusso dei calcoli da fare per passare dall’astratta previsione normativa alla concreta quantificazione e irrogazione della sanzione, tenendo conto anche che possono essere fatti piccolissimi o realizzati da una micro impresa.
Vediamo i punti che si ritengono più importanti.
Le Linee Guida per il calcolo delle sanzioni Privacy suggeriscono di fissare un importo da mettere a base del calcolo.
Per l’EDPB è opportuno che l’Autorità individui delle fasce di gravità (bassa, media, alta) per ciascuna delle quali le Linee ritagliano un minimo e un massimo calcolati in percentuale sul massimo previsto dal Gdpr, compito dell’autorità sarà “categorizzare” la violazione in una delle fasce per il calcolo della sanzione.
Questo sistema, però, in un certo senso però svilisce la voluta indeterminatezza dell’articolo 83.
L’EDPB propone poi una metodologia su “cinque step per calcolare le sanzioni GDPR”: cinque passaggi per aiutare le autorità a calcolare in maniera adeguata le sanzioni per le violazioni del GDPR, pur precisando che l’importo resta a discrezione delle autorità stesse.
La metodologia proposta dall’EDPB prevede:
FASE 1: individuazione delle operazioni di trattamento nel caso e valutazione dell’applicazione dell’articolo 83, paragrafo 3, GDPR.
FASE 2: trovare il punto di partenza per ulteriori calcoli sulla base di una valutazione di (Capitolo 4 Linee Guida)
- a) la classificazione di cui all’articolo 83, commi 4–6, GDPR;
- b) la gravità della violazione ai sensi dell’articolo 83, comma 2, lettere a), b) e g), GDPR;
- c) il fatturato dell’impresa quale elemento rilevante da tenere in considerazione ai fini dell’irrogazione di una sanzione effettiva, dissuasiva e proporzionata, ai sensi dell’art. 83, comma 1, GDPR.
FASE 3: valutare le circostanze aggravanti e attenuanti relative al comportamento passato o presente del titolare del trattamento/ incaricato del trattamento e aumentare o diminuire la sanzione di conseguenza. (Capitolo 5)
FASE 4: individuazione dei massimi legali rilevanti per le diverse operazioni di trattamento (Capitolo 6).
FASE 5 Analizzare se l’importo finale della sanzione calcolata soddisfa i requisiti di efficacia, dissuasività e proporzionalità, come previsto dall’articolo 83, comma 1, GDPR, aumentando o diminuendo di conseguenza la sanzione (capitolo 7).
Alcune considerazioni
Se da una parte è vero che in questi anni si sono viste differenze importante tra le sanzioni irrogate dalle diverse Autorità, dall’altra parte è una differenza fisiologica che in parte ci sarà sempre. I diversi sistemi giudiziari, cultura, sensibilità, contesto, non potranno essere superati immediatamente con l’adozione di una Linea Guida per il calcolo delle sanzioni Privacy. Certamente, però, uniformare la metodologia di valutazione delle violazioni al Regolamento è uno strumento per iniziare un lento processo di armonizzazione anche degli aspetti sanzionatori tra le Autorità dei diversi Stati Membri.
Indubbiamente, poi, questa guida aiuterà anche i DPO, le imprese e i consulenti per avere uno spaccato di sanzioni certe e conoscibili, quale elemento di garanzia e di successo per lo stesso Gdpr.
L’alternativa è lasciare tutto alla valutazione “caso per caso” che solo in molto tempo può portare alla costruzione di un sistema di precedenti, cui uniformarsi una volta consolidati, ma restando nell’incertezza sino ad allora.