Sanzioni per violazioni del GDPR: l'EDPB approva nuove Linee Guida per armonizzare le metodologie di calcolo delle sanzioni.

Linee guida 04/2022: gli obiettivi dell'EDPB

La Linee guida 04/2022 sono state adottate il 12 Maggio 2022 ed ora sono in consultazione pubblica, in attesa di commenti. Dal 27 Giugno saranno quindi ufficialmente adottate. La loro redazione consegue ad una necessità impellente: armonizzare le metodologie di calcolo delle sanzioni. Le linee guida contengono una serie di indicazioni offerte appunto alle varie autorità garanti nazionali per calcolare l'ammontare delle multe da comminare in caso di violazione delle previsioni della normativa privacy. D'altronde in questi 4 anni di vigenza del GDPR è risultato molto chiaro come quello di armonizzare e rendere coerente l'azione delle varie autorità garanti nazionali sia una delle difficoltà maggiori.

Punto fermo è l'art.83 del GDPR che spiega chiaramente che

• l'ammontare delle sanzioni deve essere efficace, proporzionato e dissuasivo;
• le autorità devono anche tenere debitamente conto di un elenco di circostanze sulla violazione stessa e sul suo autore;
• l 'importo della sanzione non possa superare gli importi massimi previsti dai comma 4, 5 e 6 dell'art 83 GDPR.

Ricordiamo che l'ammontare massimo di una sanzione per violazione del GDPR è di 20 milioni di euro o del 4% del fatturato annuo.

Le indicazioni dell'EDPB per il calcolo delle sanzioni: i 5 step

Le Linee guida EDPB ribadiscono che l'importo delle sanzioni è a discrezione dell'autorità nazionale pur nel rispetto dei tre punti sopra indicati. Per la valutazione della sanzione l'autorità deve tenere di conto anche le caratteristiche e la gravità della violazione e le caratteristiche dell'autore della violazione.

Sono 5 gli step indicati esplicitamente nelle Linee Guida: 

1. identificare i trattamenti in atto nel caso specifico;
2. valutare tipo della violazione, gravità e fatturato del responsabile. L'EDPB sul punto spiega che occorre anche valutare se la condotta sanzionabile è una sola oppure se è in atto una pluralità di violazioni;
3. considerare di eventuali attenuanti o aggravanti. Ad esempio molte autorità garanti, compresa quella italiana, considerano la scarsa o nulla collaborazione come aggravante;
4. individuare i massimali previsti dalla legge per il tipo di violazione;
5. verificare se l'importo stabilito soddisfi i requisiti di efficacia, dissuasione e proporzionalità.

In ogni caso, ricorda l'EDPB, il calcolo di una sanzione non è un mero esercizio matematico ma deve tenere di conto del caso concreto e delle circostanze. Sono questi che devono determinare l'importo della sanzione.

Linee guida 04/2022: quale impatto avranno?

Le Linee guida diverranno vincolanti per i garanti nazionali che sono naturalmente portati, per cultura, sistemi giudiziari, sviluppo tecnologico del paese e per altri fattori a produrre decisioni disarmoniche. Diventa chiaro quindi che l'impatto delle Linee Guida si fa pesante, fermo restando che l'EDPB non obbliga le autorità ad applicare parti delle Linee Guida che dovessero risultare inapplicabili al caso specifico. Il loro scopo sarà quello di colmare differenze e divergenze tra le varie autorità nazionali con l'interpretazione comune dell'EDPB, con particolare attenzione all'interpretazione delle disposizioni dell'art 83 GDPR.

Resta fermo per l'EDPB che:

"qualsiasi linea guida di questo tipo non deve essere così specifica da consentire al responsabile del trattamento di poter eseguire un preciso calcolo matematico della sanzione prevista. In queste linee guida si sottolinea che l'importo finale della sanzione dipende dalle circostanze del caso".

Ecco perché l'EDPB ha puntato ad armonizzare non il calcolo delle sanzioni, ma i punti di partenza e la metodologia da utilizzare per calcolare l'ammenda. Si armonizza quindi la metodologia, non il risultato finale.

Qui sono consultabili le Linee Guida > Guidelines 04/2022 on the calculation of administrative fines under the GDPR