//

Calcolo
delle 
sanzioni
amministrative 
GDPR
-3

Torna agli articoli

ll Comitato europeo (EDPB) ha rilasciato le linee guida 04/2022 sul calcolo delle sanzioni amministrative in base al GDPR, sottoponendole a consultazione pubblica fino al 27 giugno 2022.

Le linee guida suddividono il processo logico di determinazione delle sanzioni pecuniarie in fasi:

  • la prima, consistente nella individuazione di una o più condotte o violazioni ha formato oggetto del bolletino del 16 giugno 2022
  • la fase 2, relativa al calcolo della sanzione teorica, è stata analizzata nel bollettino del 30 giugno 2022; questo calcolo viene effettuato
    • individuando la classe di livello sanzionatorio legale applicabile al casodi specie (cioè, se esso rientra nel livello minore – €10 milioni o 2% del FMTA – oppure nel livello maggiore – €20 milioni o 4% del FMTA
    • valutando la rilevanza della violazione (natura, gravità e durata della violazione, carattere doloso o colposo, categorie di dati personali coinvolte; v. art. 83(2)(a), (b) e (g) GDPR)
    • determinando il valore del FMTA (turnover) dell’organizzazione che ha trasgredito.

Una volta calcolato il livello della sanzione teorica, su di essa possono essere effettuati in successione gli aggiustamenti del caso specifico, vale a dire:

  • fase 3 – l’applicazione dei fattori attenuanti o aggravanti pertinenti
  • fase 4 – l’identificazione del corrispondente livello sanzionatorio legale massimo
  • fase 5 – l’apprezzamento della sanzione così risultante rispetto al principio di effettività, dissuasività e proporzionalità dell’intervento punitivo.

In questa tornata ci soffermiamo sui fattori attenuanti e aggravanti (fase 3).

Sintesi

Figura – EDPB Linee guida 04/2022: fasi per la determinazione dell’ammontare della sanzione amministrativa pecuniaria.
Figura – EDPB Linee guida 04/2022: fasi per la determinazione dell’ammontare della sanzione amministrativa pecuniaria.

Fattori attenuanti o aggravanti

Figura – Fattori attenuanti e aggravanti dell’art. 83(2) in aggiunta a quelli degli elementi oggettivo e soggettivo.
Figura – Fattori attenuanti e aggravanti dell’art. 83(2) in aggiunta a quelli degli elementi oggettivo e soggettivo.

I fattori attenuanti e aggravanti dell’articolo 83(2) – dopo aver esaminato quelli relativi al livello di serietà intrinseca della violazione 

art. 83(2)(a) e (g), elemento oggettivo
 e dell’intenzionalità della trasgressione 
art. 83(2)(b), elemento psicologico o soggettivo
 – servono per meglio graduare la sanzione teorica calcolata nella precedente fase 2, alle caratteristiche del caso specifico.

Azioni per mitigare i danni sofferti dagli interessati 
art. 83(2)(c)

La lista dei fattori attenuanti o aggravanti per la determinazione delle sanzioni pecuniarie amministrative, nonché per l’adozione delle ulteriori misure dell’articolo 58(2), lettere da (a) a (h) e (J), ma anche per decidere quali delle due tipologie applicare e se applicarle o meno, riprende tenendo in considerazione le misure adottate dal titolare o responsabile del trattamento (cioè del soggetto- ruolo soggettivo cui è imputabile la violazione) al fine di mitigare il danno sofferto dagli interessati.

È interessante sottolineare la differenza con gli obblighi che il GDPR impone a titolari e responsabili, consistenti nell’adozione di misure tecnico-organizzative adeguate al rischio (artt. 24, 25 e 32), intese come garanzie da attuare nella fase fisiologica del trattamento, cioè antecedente alla violazione, con funzione preventiva di eventuali danni che potrebbero derivare da trasgressioni. Come possibile fattore di attenuazione della sanzione, invece, vengono prese in considerazione quelle misure tecnico-organizzative che i richiamati soggetti pongono in essere a valle della violazione commessa, al fine di ridurre i danni conseguenti patiti dagli interessati; questo è il caso tipico di data breach, laddove viene tenuta in considerazione la capacità di reazione del titolare nel contrastare e mitigare gli effetti nocivi della violazione di dati personali sugli interessati coinvolti. Pertanto, le prime misure tecnico-organizzative mirano a tutelare i diritti degli interessati, le seconde hanno lo scopo di mitigare i danni cagionati ai data subject.

In conclusione, non sembri superfluo ribadire che gli effetti dannosi cui qui si fa riferimento sono quelli sofferti dagli interessati coinvolti anzichè quelli dell’organizzazione che ha commesso la violazione.

Le linee guida EDPB 04/2022 precisano che questa valutazione dovrà tenere in debito conto i seguenti elementi:

  • tempestività, cioè la prontezza con cui le misure vengono messe in campo,
  • effettività delle stesse nel raggiungere l’obiettivo di contenimento
  • attuazione spontanea da parte del trasgressore, cioè prima dell’inizio delle investigazioni dell’autorità.