I bollettini di House of Data Imperiali sono degli estratti delle Puntate del servizio Dati in Primo Piano (DPP), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il DPP è fruibile tramite abbonamento.

Calcolo delle sanzioni amministrative GDPR -1

Il Comitato europeo (EDPB) ha rilasciato le linee guida 04/2022 sul calcolo delle sanzioni amministrative in base al GDPR, sottoponendole a consultazione pubblica fino al 27 giugno 2022. 

Il regolamento generale ha innovato significativamente in materia di sanzioni amministrative che la direttiva 95/46/CE, invece, demandava ai singoli Stati membri, riguardo sia alla loro determinazione sia alla conseguente metodologia di applicazione.

 

Sintesi

Il GDPR prevede che determinate violazioni ai principi e alle regole in esso contenute siano soggette a sanzioni pecuniarie amministrative, determinate solo nei livelli massimi. Le autorità di supervisione nazionali, con le sole eccezioni di Danimarca ed Estonia, hanno il potere di irrogare tali sanzioni, che diventano vincolanti se non appellate, secondo il diritto interno (art. 78 GDPR e 152 codice privacy italiano). 

Le sanzioni si applicano nei riguardi dei titolari e, laddove applicabile, dei responsabili del trattamento, in forma di entità giuridiche o di persone fisiche che agiscono come imprese. L’inflizione di tali sanzioni nei riguardi di enti pubblici è invece rimessa alla decisione degli Stati membri, con riferimento sia al “se” sia alla “misura” della pena prevista (art. 83.7, GDPR). Il codice privacy italiano, ad esempio, estende l’applicazione delle sanzioni amministrative anche agli enti pubblici con esclusione dei trattamenti svolti in ambito giudiziario (artt. 166.4 e 10 codice privacy). 

Il GDPR riconosce agli Stati membri margini di flessibilità nell’adozione di sanzioni ulteriori rispetto a quelle dell’articolo 83 del regolamento (art. 84, GDPR). Il legislatore italiano si è avvalso di questa facoltà introducendo nuove sanzioni tramite l’articolo 166 del codice privacy. 

Le linee guida 04/2022, seguono e integrano le omologhe wp253 sull’applicazione delle sanzioni, adottate dal predecessore dell’EDPB, il Gruppo di lavoro dell’art. 29, e fatte proprie dal Comitato nel 2018. Le due linee guida, pertanto, vanno lette in combinazione tra loro.

 

Linee guida: tratti generali

Le linee guida 04/2022 mirano ad armonizzare la metodologia di calcolo delle sanzioni amministrative da parte delle autorità di supervisione nazionali: esse, infatti, sono destinate a queste ultime anche se offrono indicazioni di interesse per titolari e responsabili del trattamento. Fermo restando il fine di armonizzazione delle linee guida, comunque, rimane impregiudicato il potere discrezionale dell’autorità nella determinazione della sanzione, basato sull’analisi delle specifiche circostanze del caso, purché la decisione sia adeguatamente motivata. In tale processo, l’autorità dovrà tener conto dei criteri di valutazione indicati dal GDPR (art. 83). 

Le linee guida 04/2022 fanno seguito al documento wp253 del Gruppo di lavoro dell’articolo 29 (WPArt29), fatto proprio dall’EDPB il 25 maggio 2018. Le linee guida wp253 fornivano principalmente l’interpretazione dei criteri determinativi dell’articolo 83 del GDPR, mentre le 04/2022 dell’EDPB indirizzano la metodologia da seguire per il calcolo delle sanzioni. Come indicato espressamente, i due set di linee guida vanno applicate insieme e sono da considerarsi complementari (linee guida 04/2022, par. 3). 

Le linee guida 04/2022 non possono considerarsi esaustive e saranno aggiornate periodicamente in corrispondenza dello sviluppo delle esperienze pratiche nella UE, volte a valutare se la loro attuazione effettivamente consegue gli obiettivi richiamati dal GDPR. Per questi motivi, l’EDPB evidenzia la possibilità di «interrompere, modificare, limitare, emendare o sostituire queste linee guida in qualsiasi momento con effetto per il futuro» (par. 146).

 

Metodologia di calcolo

Le linee guida 04/2022 propongono una metodologia di calcolo della sanzione suddivisa in fasi successive. Il metodo suggerito non va interpretato come un automatismo di tipo matematico in quanto la determinazione della specifica sanzione dipende pur sempre dalla valutazione umana delle pertinenti circostanze del caso.

 

EDPB_calcolo_sanzioni_amministrative_GDPR
Figura – Infografica tratta dall’EDPB – Linee guida 04/2022.

 

Continua..

Per continuare a leggere questo articolo devi essere abbonato al servizio Dati in Primo Piano.

Sei già abbonato?

Abbonati al DPP

Scopri gli abbonamenti

Data Hub

Scopri di più

Iscriviti al bollettino

Compila il form