//

Calcolo
delle 
sanzioni
amministrative 
GDPR
-2

Torna agli articoli

Il Comitato europeo (EDPB) ha rilasciato le linee guida 04/2022 sul calcolo delle sanzioni amministrative in base al GDPR, sottoponendole a consultazione pubblica fino al 27 giugno 2022.

Le linee guida suddividono il processo logico di determinazione delle sanzioni pecuniarie in fasi: la prima, consiste nella individuazione di una o più condotte o violazioni.

In questa tornata ci soffermiamo sulla seconda fase relativa alla determinazione provvisoria della misura teorica della sanzione.

Sintesi

Figura – EDPB Linee guida 04/2022: fasi per la determinazione dell’ammontare della sanzione amministrativa pecuniaria.
Figura – EDPB Linee guida 04/2022: fasi per la determinazione dell’ammontare della sanzione amministrativa pecuniaria.

Regole comuni

Se la fase 1 ha come obiettivo sostanziale quello di stabilire il numero di sanzioni applicabili, le restanti fasi mirano in pratica a determinarne la misura. Vi sono alcune regole generali sulla determinazione della misura delle sanzioni che si applicano a qualunque casistica:

  • le sanzioni GDPR non prevedono un livello minimo; è discrezione dell’autorità di controllo per i casi ritenuti di minore trasgressione, sostituire la sanzione pecuniaria con un provvedimento di ammonimento 
    art. 58(2)(b) GDPR
    ; la valutazione circa il livello trascurabile della violazione – che giustifica l’adozione del provvedimento di ammonimento in sostituzione della sanzione pecuniaria – viene effettuata adottando i medesimi criteri di valutazione che il GDPR richiede per la determinazione della sanzione pecuniaria. L’articolo 83(2) infatti recita: «2. Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all’articolo 58, paragrafo 2, lettere da a) a h) 
    tra cui vi è l’ammonimento: nda
     e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:»
    (enfasi aggiunta).
  • La sanzione pecuniaria irrogata non può mai superare il livello massimo legale previsto per la singola violazione (cioè €10 milioni o il 2% del Fatturato Mondiale Totale Annuo (“FMTA”) oppure € 20 milioni o il 4% del FMTA dell’organizzazione, costituenti le due misure indicate nel GDPR in base alla differente gravità delle tipologie di violazioni).
  • La sanzione inflitta deve risultare in ogni caso effettiva, proporzionata e dissuasiva.

Fase 2 – Rilevanza della violazione

Oggetto della fase 2 è la determinazione del grado di rilevanza della violazione. Questo processo viene eseguito tenendo in considerazione gli elementi soggettivi e oggettivi della condotta del soggetto responsabile nel caso specifico; precisamente:

  • Natura, gravità e durata della violazione nonchè le categorie di dati personali coinvolti (cosiddetto “elemento oggettivo”)
  • Carattere intenzionale o negligente del comportamento del trasgressore (cosiddetto “elemento soggettivo”).

La combinazione della valutazione dell’elemento oggettivo e soggettivo conduce al giudizio unitario riguardo al grado di rilevanza della violazione. A questa valutazione iniziale, si aggiungeranno poi nelle successive fasi le valutazioni dei fattori attenuanti e/o aggravanti previsti dal GDPR ed applicati al caso specifico.