Lo “European Data Protection Board” (“EDPB”) ha adottato le linee guida 04/2022 concernenti il calcolo delle sanzioni susseguenti alle violazioni del GDPR.
Obiettivo: armonizzare la metodologia di calcolo, a integrazione di quanto previsto dalle linee guida adottate sul tema dal Working Party 253 il 3 ottobre 2017. Ma sarà davvero così o si rischia che il rimedio sia peggiore del male?
Violazioni del GDPR: ecco le linee guida EDPB per la “misura” delle sanzioni
Sanzioni, cosa prevede il Gdpr
Preliminarmente all’analisi delle nuove linee guida 04/2022 (di seguito anche “Linee Guida”), pare opportuno soffermarsi, seppur brevemente, su quanto previsto dal GDPR. L’articolo 58, paragrafo 2, lettera i), demanda alle singole autorità di controllo competenti il potere di irrogare una sanzione amministrativa pecuniaria ai sensi dell’art. 83 o in funzione delle circostanze di ogni singolo caso.
Dal combinato disposto delle due norme, si evince l’approccio “concreto” del Regolamento europeo che, espressamente, all’articolo 83, individua requisiti di natura generale per l’applicazione delle sanzioni, aggiungendo che essere debbano comunque essere effettive, proporzionate e dissuasive.
Di più: il paragrafo 2 dell’art. 83 statuisce che, al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso, debbano tenersi in conto una serie di elementi, tra i quali spiccano la natura, la gravità e la durata della violazione, “tenendo in considerazione la natura, l’oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito”.
Sulla scorta di tali assunti normativi, il “WP253” aveva emanato, nell’ottobre 2017, le linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 2016/679, nel corso delle quali si procedeva a una disamina compiuta sulla lettera dell’art. 83, concludendo sulla necessità, a carico delle autorità di controllo, di individuare, tra i fatti pertinenti del caso, i criteri più utili per valutare se sia necessario imporre una sanzione amministrativa pecuniaria appropriata in aggiunta alle o in sostituzione delle misure di cui all’articolo 58 e auspicando la collaborazione costante per l’applicazione coerente delle sanzioni sul territorio dell’Unione.
Gdpr, sanzioni e responsabilità: tutto ciò che c’è da sapere
Cosa prevedono le nuove Linee Guida
Orbene, i suggerimenti del WP253 non hanno impedito l’emergere di diverse criticità. Basti pensare alla notevole disarmonia nell’applicazione delle sanzioni tra Stati Membri, alla poca trasparenza nel calcolo delle sanzioni e alla difficoltà delle imprese a quantificare il “rischio privacy” conseguente ad una violazione.
Sulla scorta di tale filone – e delle sue significative problematicità – l’EDPB prova a concentrarsi tanto sulle circostanze del caso concreto che giustificano l’irrogazione della sanzione quanto sull’individuazione di una metodologia nuova, articolata su 5 diversi step, al fine di rendere chiaro e trasparente il calcolo delle sanzioni amministrative. Ad onore del vero, il testo pubblicato dal “Board” è sottoposto a consultazione pubblica fino al 27 giugno 2022, al fine di raccogliere le opinioni e le preoccupazioni delle parti interessate e dei cittadini.
Step 1: valutazione dei comportamenti e delle violazioni che faranno scattare la sanzione
Nel corso dello step 1 – “concurrent infringements and the application of article 83(3) gdpr” – l’autorità di controllo dovrà valutare specificatamente i comportamenti e le violazioni che faranno scattare la sanzione, quindi verificare se, in concreto, sussista eventuale “concorso” tra le condotte illecite. Difatti, qualora venissero in rilievo trattamenti tra loro “collegati”, non sarebbe possibile irrogare una sanzione che superi l’importo stabilito per la violazione più grave, come prescritto, del resto, dal paragrafo 3 dell’art. 83 del GDPR.
Step 2 e 3: starting point per quantificare la sanzione
Negli step 2 e 3 – “starting point for calculation” e “aggravating and mitigating circumstances” – l’autorità di controllo, al fine di individuare la somma da infliggere quale sanzione, sarà tenuta a servirsi di una sorta di “starting point” costituito dai seguenti elementi: categorizzazione della natura delle violazioni, gravità della violazione e fatturato dell’impresa. Quest’ultimo requisito, in particolare, consente di infliggere una sanzione con la maggiore efficacia deterrente possibile, tenendo adeguatamente in conto anche la ricorrenza di eventuali circostanze attenuanti e/o aggravanti, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione, come indicato dal par. 2, lett. k) dell’art. 83.
Step 4: individuazione del massimo edittale applicabile
Nello step 4 – “legal maximum and corporate liability” – sarà necessario individuare il massimo edittale applicabile in relazione al caso concreto ed evitare che, attraverso il calcolo meramente matematico, questo possa essere superato.
Nell’individuare la sanzione amministrativa per infrazioni di bassa gravità, l’autorità di controllo dovrà determinare l’importo di partenza in un punto intermedio tra lo 0 e il 10% del massimo edittale, nel caso in cui si tratti di importo massimo statico, come indicato dall’art. 83, par. 4 del GDPR. Per infrazioni di media gravità, il punto intermedio si sposta tra il 10% e il 20% del massimo edittale applicabile. Per infrazioni di elevata gravità, si fa riferimento ad una percentuale tra il 20% e il 100% del massimo edittale applicabile. A tale scopo, il “Board” ritiene opportuno concentrare l’attenzione sull’entità del fatturato delle imprese, con l’obiettivo – poc’anzi menzionato – di rendere la sanzione il più possibile dissuasiva.
Esemplificativamente parlando, per le imprese con fatturato medio inferiore a 50 milioni di euro, l’autorità competente potrà procedere al calcolo, partendo da una base di importo pari al 2% della cifra inizialmente individuata. Non così per le imprese il cui fatturato oscilla tra i 100 e i 250 milioni di euro, per cui dal 2% si può giungere a una percentuale massima del 20% rispetto all’importo inizialmente individuato.
Da ciò consegue che lo “starting point” andrà ridotto in virtù del parametro oggettivo individuato. Pertanto, per le imprese con fatturato annuo inferiore a 2 milioni di euro, il quantum potrà essere ridotto fino allo 0,2% dell’importo iniziale, con la possibilità di crescere a seconda delle circostanze concrete.
Step 5: analisi di efficacia, effettività e dissuasività della sanzione
Nello step 5 – “effectiveness, proportionality and dissuasiveness” – sarà necessario analizzare e valutare se l’importo finale della sanzione soddisfi i requisiti di efficacia, effettività e dissuasività e, laddove opportuno, l’autorità potrà procedere ai dovuti adeguamenti dell’importo della sanzione.
Conclusioni
Da quanto emerso, è possibile conclusivamente ritenere che il lavoro svolto dall’EDPB nasca dall’esigenza, manifestata a gran voce dalle imprese e dalle pubbliche amministrazioni, di conoscere in maniera certa e quanto più possibile oggettiva l’ammontare delle sanzioni, a seconda delle condotte illecite riscontrate.
Ciò a ulteriore elemento di efficacia e applicazione di quanto prescritto dalle disposizioni del GDPR, per evitare che un aspetto così delicato venga subordinato al forte rischio di procedimenti privi di parametri oggettivi. Del resto, l’approccio suggerito dalla normativa – relativo a una valutazione “caso per caso” – presuppone comunque la progettazione di un sistema il più possibile uniforme e armonizzato, per evitare distorsioni all’interno dei singoli Stati membri. Il rischio, tuttavia, è che il rimedio sia “peggiore del male”, dal momento che sono ancora tante le variabili rimesse alla valutazione delle singole autorità competenti, specie con riferimento alla considerazione delle particolarità della fattispecie concreta.
Inoltre, il sistema individuato dall’EDPB, se da una parte può apparire finalizzato all’individuazione di criteri unitari per tutti gli Stati membri, porta con sé il significativo pericolo che le imprese e le pubbliche amministrazioni siano costrette a dimenarsi all’interno di una matassa di numeri e calcoli, difficilmente gestibile. Non resta che attendere gli sviluppi che emergeranno dalla consultazione pubblica, nell’auspicio che le preoccupazioni delle parti interessate non rimangano inascoltate.
