Tra le varie novità introdotte con il Regolamento Europeo 679/2016 GDPR, quella che forse ha avuto il maggiore impatto mediatico (e che ha contribuito ad alzare la soglia dell’attenzione sulla necessità di adeguarsi alle prescrizioni in tema di protezione dei dati personali) riguarda il poderoso set di sanzioni introdotto all’articolo 83 della normativa comunitaria.
Gdpr, sanzioni e responsabilità: tutto ciò che c’è da sapere
Nell’intento di dotare la disciplina privacy di sanzioni proporzionate alle dimensioni dei colossi internazionali che spesso trattano in modo spregiudicato i nostri dati e di rendere disponibile questo “arsenale” su tutto il territorio europeo evitando così di disincentivare l’adeguamento alla legge comunitaria in alcuni stati, il legislatore europeo ha previsto pene limitate solo nella misura massima al 2% del fatturato annuo globale (4% nei casi più gravi) ovvero in 10 milioni di euro (20 milioni per le violazioni più gravi) nel caso in cui il soggetto che viola il GDPR non sia qualificabile come imprenditore secondo la (peraltro molto ampia) definizione comunitaria.
Altra cosa che ha preoccupato gli interpreti, specie in Italia, era la carenza di indicazioni circa la forbice edittale e la genericità dei criteri per graduare le sanzioni.
In realtà nel corso del tempo i garanti hanno sempre fatto un uso oculato dei criteri di cui all’art. 83 e il meccanismo di individuazione della misura delle sanzioni non ha mostrato criticità estreme. Non sono mancate però le critiche (specie verso alcune autorità tradizionalmente “amiche” delle big tech che in certe occasioni sono state accusate di aver ridimensionato alcune sanzioni rispetto ai concorrenti) e proprio per uniformare i criteri di commisurazione delle sanzioni il Gruppo Europeo dei Garanti (EDPB) ha licenziato delle linee guida tese proprio ad individuare un metodo condiviso a livello europeo per individuare la misura della sanzione per violazione del GDPR.
Le linee guida saranno aperte alla consultazione pubblica fino al prossimo 27 giugno (a questa pagina) dopodiché saranno ufficialmente adottate.
Il “metodo” proposto nelle linee guida
Le linee guida propongono una metodica precisa per individuare la misura della sanzione che le singole autorità garanti dovranno comminare, riassunto nel seguente schema, contenuto nelle linee guida:
Conoscere questo “metodo” è interessante sia per le autorità che per gli operatori, che potranno da un lato prevedere con maggior precisione il “costo” di una violazione del GDPR e dall’altro potranno utilizzare le prescrizioni di cui alle linee guida per verificare se il percorso logico seguito dall’autorità nel comminare la sanzione è effettivamente rispettoso dello spirito della norma per come declinato dal consesso delle Autorità Garanti.
Per iniziare il Gruppo Europeo dei Garanti suggerisce innanzitutto di identificare il numero delle condotte sanzionabili, siamo di fronte ad un’unica condotta sanzionabile, o a più condotte, magari reiterate?
Secondo il GDPR un’operazione di trattamento è costituita anche da “set di operazioni” su “set di dati” e quindi ad esempio un istituto finanziario per attivare linee di credito tratta sistematicamente dati ultronei dei clienti (poniamo il caso che chieda ai clienti dati relativi al loro orientamento religioso). Nel caso, secondo l’EDPB siamo di fronte ad un set di operazioni tra loro così strettamente connesse da essere considerabili come un’unica condotta sanzionabile.
Mentre una singola violazione consente all’autorità di comminare una sola sanzione (modulandola fino ad arrivare al massimo di legge), una pluralità di violazioni imporranno separate commisurazioni delle violazioni sulla base della gravità di ogni singola condotta.
A questo punto è necessario valutare se la condotta posta in essere (l’illegittimo trattamento) conduce a una o più violazioni del GDPR.
In caso di cumulo di violazioni è poi necessario verificare se siamo di fronte ad un cumulo solo apparente (ad esempio una violazione esclude l’altra in forza del principio di specialità: una è generica e l’altra è specifica per il caso concreto, con la conseguenza che sarà solo quest’ultima ad applicarsi) ovvero ad un cumulo effettivo e siamo quindi di fronte a una condotta plurioffensiva.
Il cumulo effettivo finisce per aggravare la sanzione, che però verrà comminata un’unica volta e con limite massimo sempre quello previsto dalla legge per un’unica violazione.
Con uno sforzo interpretativo degno di nota il Gruppo dei Garanti fa rientrare nell’ambito della condotta plurioffensiva anche la diversa ipotesi di condotta reiterata che concreta la medesima violazione (ad esempio l’invio di varie “ondate” di e-mail commerciali a dei clienti), per evitare disparità di trattamento.
La “serietà” della violazione
Una volta individuato il trattamento (o i trattamenti) illegittimi e la norma (o le norme) violate, il Gruppo dei Garanti passa ad una dettagliata disamina dei criteri che il GDPR elenca all’art. 83 per determinare la misura delle sanzioni, ovvero:
- la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
- il carattere doloso o colposo della violazione;
- le categorie di dati personali interessate dalla violazione.
Interessanti sono in particolare le delucidazioni circa la qualificazione della gravità della violazione, elemento naturalmente centrale nei provvedimenti sanzionatori.
L’EDPB raccomanda alle Autorità di valutare la natura e il contesto del trattamento dati, la “dimensione geografica” del trattamento (se stiamo parlando di una violazione estesa a livello locale, nazionale o comunitario), lo scopo del trattamento (più lo scopo del trattamento è vicino al core business del soggetto sanzionando, più la sanzione sarà cospicua), il numero di interessati coinvolti e il livello di danno causato.
Quando l’Autorità ha valutato la natura, la gravità e la durata della violazione, la sua natura dolosa o colposa e le categorie di dati personali interessate dalla violazione (con ovvio intenso aggravamento della sanzione ove siano coinvolti dati appartenenti a categorie particolari o giudiziari di cui all’art. 10 GDPR), è possibile assegnare un “livello di gravità” alla violazione.
L’EDPB fa l’esempio di una violazione con “livello di gravità” basso citando il caso di un negozio online che risponde (in una percentuale non rilevante dei casi) in ritardo alle richieste di accesso ai dati trattati da parte dei clienti. In questo caso il Gruppo dei Garanti suggerisce una sanzione compresa fra lo 0 e il 10% della sanzione prevista dall’art. 83 GDPR (quindi fino allo 0,2% del fatturato globale annuo del sanzionato).
Il fatturato annuo
L’EDPB poi “consiglia” alle autorità garanti nazionali di applicare dei correttivi alle somme individuate valutando la gravità della violazione, proponendo diminuzioni via via sempre più incisive al diminuire del fatturato dell’azienda coinvolta.
Circostanze aggravanti e attenuanti
A questo punto l’Autorità dovrebbe avere una sanzione “base”, mitigata se del caso sulla base del fatturato del soggetto sanzionando, ma che può ancora variare notevolmente sulla base di alcune circostanze aggravanti e/o attenuanti.
- le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
- il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto;
- eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
- il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
- la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
- qualora siano stati precedentemente disposti provvedimenti da parte dell’Autorità di controllo relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
- l’adesione ai codici di condotta o ai meccanismi di certificazione;
- eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.
Le linee guida contengono anche numerosi esempi per calare nel concreto la commisurazione delle sanzioni e la valutazione di aggravanti ed attenuanti, specie in concorso fra di loro.
Sanzioni effettive, proporzionate e dissuasive
Le linee guida si chiudono con un richiamo al fatto che le sanzioni dovranno comunque essere effettive, proporzionate e sufficientemente dissuasive.
Interessante è il richiamo dell’EDPB, quanto alla proporzionalità della sanzione, al fatto che questa può -in circostanze eccezionali- essere ridotta se il soggetto sanzionato non è in grado di pagarla (nel senso che il pagamento della sanzione lo condannerebbe all’insolvenza).
Ancora, l’EDPB consente (sempre in circostanze eccezionali) di modulare la sanzione tenendo conto anche del contesto sociale ed economico (pensiamo ad un’azienda in violazione che derivava i propri ricavi in massima parte dal commercio con un paese ora in guerra).
L’ultimo punto delle linee guida è invece un richiamo alla flessibilità da parte della singola autorità, che non potrà considerare il metodo di cui alle linee guida come un semplice sistema matematico da applicare sillogisticamente al caso concreto, ma dovrà comunque operare le proprie valutazioni sulla base di una valutazione del caso specifico effettuata dai funzionari addetti.
