GDPR: le Linee guida dell'EDPB sul calcolo delle sanzioni amministrative

Il Comitato europeo per la protezione dei dati (EDPB - European Data Protection Board) ha avviato una consultazione pubblica avente ad oggetto le Linee guida 04/2022 sul calcolo delle sanzioni amministrative ai sensi del GDPR, adottate nel corso della sessione plenaria che si è svolta il 12 maggio 2022. I commenti potranno essere inviati  entro e non oltre il 27 giugno 2022.

Le Linee guidate pubblicate ("Guidelines 04/2022 on the calculation of administrative fines under the GDPR") sono dirette ad armonizzare la metodologia utilizzata dalle Autorità di vigilanza nel calcolo dell'importo delle sanzioni. Tali Linee Guida integrano le Linee Guida sull'applicazione e fissazione delle sanzioni amministrative ai fini del Regolamento 2016/679 (WP253) precedentemente adottate, che si concentrano sulle circostanze in cui infliggere una sanzione.

Il calcolo dell'importo della sanzione è a discrezione dell'Autorità di controllo, fatte salve le regole previste dal GDPR. Il Regolamento (UE) 27 aprile 2016, n. 2016/679 richiede che l'importo della sanzione sia in ogni singolo caso effettivo, proporzionato e dissuasivo (articolo 83, paragrafo 1, del GDPR). Inoltre, nella determinazione dell'importo della sanzione, le Autorità di controllo tengono debitamente conto di un elenco di circostanze che fanno riferimento a caratteristiche della violazione (la sua gravità) o al carattere dell'autore (articolo 83, paragrafo 2, GDPR). L'importo della sanzione, infine, non può eccedere gli importi massimi previsti dagli articoli 83, comma 4, commi 5 e 6, GDPR. La quantificazione dell'importo della sanzione si basa quindi su una specifica valutazione svolta caso per caso, entro i parametri previsti dal GDPR.

Tenuto conto di quanto sopra, l'EDPB ha ideato la seguente metodologia, composta da cinque passaggi, per il calcolo delle sanzioni amministrative per violazioni del GDPR.

• devono essere identificate le operazioni di trattamento nel caso e deve essere valutata l'applicazione dell'articolo 83, paragrafo 3, del GDPR (Capitolo 3);
• occorre individuare il punto di partenza per un ulteriore calcolo dell'importo della sanzione (Capitolo 4). Ciò avviene valutando la classificazione della violazione nel GDPR, valutando la gravità della violazione alla luce delle circostanze del caso e valutando il fatturato dell'impresa;
• è necessaria la valutazione delle circostanze aggravanti e attenuanti relative al comportamento passato o presente del titolare/responsabile del trattamento e l'aumento o la diminuzione della sanzione che ne consegue (Capitolo 5);
• occorre individuare gli importi massimi legali pertinenti per le diverse infrazioni. Gli aumenti applicati nelle fasi precedenti o successive non possono superare tale importo massimo (Capitolo 6);
• è necessario analizzare se l'importo finale calcolato soddisfi i requisiti di efficacia, dissuasività e proporzionalità. La sanzione può comunque essere adeguata di conseguenza (Capitolo 7), senza tuttavia superare il massimo di legge applicabile.

In tutte le fasi sopra citate, va tenuto presente che il calcolo di una sanzione non è un mero esercizio matematico. Piuttosto, le circostanze del caso specifico sono i fattori determinanti che portano all'importo finale, che può – in ogni caso – variare tra qualsiasi importo minimo e massimo legale.