Sanzioni e GDPR: quali sono i criteri delle sanzioni? Un'analisi delle linee guida EDPB e la più recente pronuncia della Cassazione

Sanzioni e GDPR: l'articolo 83 del GDPR

L'articolo 83 del GDPR stabilisce che sia compito delle autorità di controllo vigilare sulle violazioni al Regolamento di protezione dei dati personali con potere di infilggere sanzioni amministrative. Sanzioni che, è scritto esplicitamente, devono essere:

• effettive;
• proporzionate;
• dissuasive. 

Inoltre, come specificato nel comma 2, le autorità devono valutare le sanzioni pecuniarie in funzione del singolo caso e delle singole circostanze. I criteri di cui tenere conto sono:

• la natura, la gravità e la durata della violazione;
• il carattere doloso o colposo della violazione;
• le misure adottate dal titolare del trattamento o dal responsabile del trattamento per minimizzare il danno subito dagli interessati;
  il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
• eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
• il grado di cooperazione con l'autorità di controllo;
• le categorie di dati personali interessate dalla violazione;
• la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
• eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

L'articolo 58 del GDPR

L'art 83. intesta all'autorità garante il compito di vigilare e sanzionare le violazioni al GDPR. Questo anche in virtù di quanto previsto dall'art. 58 del GDPR, nel quale sono elencati i poteri che il GDPR attribuisce al Garante Privacy. Tra questi poteri ci sono quello di indagine, il potere correttivo, quello autorizzativo e quello consultivo. Il Garante può, ad esempio, non limitarsi a infliggere una sanzione pecuniaria, ma anche vietare un trattamento illegittimo o imporre misure correttive. Insomma, il GDPR concede ai Garanti uno spazio piuttosto ampio di intervento.

Le linee guida 4/2022 dell'EDPB

A partire dai principi generali sopra elencati, il Comitato europeo per la protezione dei dati personali (EDPB) ha adottato nel Maggio 2023 le Linee Guida 4/2022. Linee guida che forniscono indicazioni pratiche e chiare sui criteri da tenere in considerazione nello stabilire le sanzioni per violazioni del GDPR e il loro ammontare. La volontà motore di questo documento è quello di armonizzare l'adozione e il calcolo delle sanzioni in Europa. Queste Linee guida sono da considererarsi complementari, un'aggiunta specifica, delle Linee Guida WP253 che invece dettagliano i criteri utili alle autorità di controllo per decidere se sia necessario imporre o meno una sanzione amministrativa pecuniaria.

Insomma, il Garante Privacy trova indicazioni specifica sul se e quando imporre sanzioni amministrative nelle Linee Guida WP253. Come sanzionare e a quanto deve ammontare la sanzione invece trova specifica nelle Linee guida 4/2022 dell'EDPB.

Per approdondire il contributo del nostro esperto Dott. Alessandro Mammoli > Le linee guida EDPB per calcolare le sanzioni per violazioni al GDPR

I criteri di calcolo della sanzione pecuniaria

L'EDPB nel documento dettaglia una metodologia nuova che si articola in 5 diversi step.

1: valutazione dei comportamenti e delle irregolarità che hanno determinato la sanzione;

2 e 3: da dove partire per calcolare la sazione. Qui le Linee Guida dettagliano che è necessario tenere in considerazione la natura della violazione, la gravità e il fatturato dell'azienda. L'ultimo criterio ha lo scopo di consentire al garante di infliggere una sanzione con la massima efficacia deterrente;
4. stabilire il massimo edittale applicabile rispetto al caso concreto, evitanto che il calcolo meramente matematico porti al superamento di questo limite. A grandi linee il garante dovrà determinare l'importo in un punto intermedio tra:

• Bassa gravità: tra lo 0 e 10% del massimo edittale;
• Media gravità: tra il 10 e il 2o% del massimo;
• Gravità elevata: 20 e il 100% del massimo.
  
  Ad esempio, per imprese con fatturato medio inferiore ai 50 milioni di euro, l'autorità può calcolare l'ammontare partendo da una base pari al 2% della cifra inizialmente individuata. Per aziende con fatturato tra i 100 e 250 milioni di euro, il garante può arrivare fino al 20% dell'importo iniziale.

5: valutazione e analisi dell'effettività, efficacia, dissuasività dell'importo della sanzione. L'autorità può procedere, entro i limiti su indicati, ai dovuti adeguamenti dell'ammontare.

La Cassazione ha specificato tre criteri di azione delle sanzioni

La Cassazione, con un'ordinanza del 22 Settembre, che ha risolto una disputa tra il Garante Privacy e la notà società di delivery Glovo, ha fissato i criteri da seguire per la corretta attuazione delle sanzioni previste dal GDPR.

Glovo, sanzionata per illegittimo trattameno dati dei rider, aveva presentato ricorso al tribunale di Milano. Tribunale che aveva annullato il provvedimento amministrativo del Garante Privacy poichè aveva ritenuto sproporzionata la sanzione comminata. Il Garante ha presentato ricorso alla Cassazione che ha ribadito che l'autorità di controllo dele tenere di conto

• rilevanza;
• efficacia;
• proporzionalità;

della sanzione rispetto al singolo caso specifico. Ribadendo che la sanzione non può superare il massimo edittale previsto per legge.