Il Comitato europeo (EDPB) ha rilasciato le linee guida 04/2022 sul calcolo delle sanzioni amministrative in base al GDPR, sottoponendole a consultazione pubblica fino al 27 giugno 2022.
Le linee guida suddividono il processo logico di determinazione delle sanzioni pecuniarie in fasi: la prima, consistente nella individuazione di una o più condotte o violazioni ha formato oggetto dell’Editoriale del 16 giugno 2022.
In questa tornata ci soffermiamo sulla seconda fase relativa alla determinazione provvisoria della misura teorica della sanzione.
Sintesi
Regole comuni
Se la fase 1 ha come obiettivo sostanziale quello di stabilire il numero di sanzioni applicabili, le restanti fasi mirano in pratica a determinarne la misura. Vi sono alcune regole generali sulla determinazione della misura delle sanzioni che si applicano a qualunque casistica:
- le sanzioni GDPR non prevedono un livello minimo; è discrezione dell’autorità di controllo per i casi ritenuti di minore trasgressione, sostituire la sanzione pecuniaria con un provvedimento di ammonimento [art. 58(2)(b) GDPR]; la valutazione circa il livello trascurabile della violazione – che giustifica l’adozione del provvedimento di ammonimento in sostituzione della sanzione pecuniaria – viene effettuata adottando i medesimi criteri di valutazione che il GDPR richiede per la determinazione della sanzione pecuniaria. L’articolo 83(2) infatti recita: «2. Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all’articolo 58, paragrafo 2, lettere da a) a h) [tra cui vi è l’ammonimento: nda] e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:» (enfasi aggiunta).
- La sanzione pecuniaria irrogata non può mai superare il livello massimo legale previsto per la singola violazione (cioè €10 milioni o il 2% del Fatturato Mondiale Totale Annuo (“FMTA”) oppure € 20 milioni o il 4% del FMTA dell’organizzazione, costituenti le due misure indicate nel GDPR in base alla differente gravità delle tipologie di violazioni).
- La sanzione inflitta deve risultare in ogni caso effettiva, proporzionata e dissuasiva.
Fase 2 – Rilevanza della violazione
Oggetto della fase 2 è la determinazione del grado di rilevanza della violazione. Questo processo viene eseguito tenendo in considerazione gli elementi soggettivi e oggettivi della condotta del soggetto responsabile nel caso specifico; precisamente:
- Natura, gravità e durata della violazione nonchè le categorie di dati personali coinvolti (cosiddetto “elemento oggettivo”)
- Carattere intenzionale o negligente del comportamento del trasgressore (cosiddetto “elemento soggettivo”).
La combinazione della valutazione dell’elemento oggettivo e soggettivo conduce al giudizio unitario riguardo al grado di rilevanza della violazione. A questa valutazione iniziale, si aggiungeranno poi nelle successive fasi le valutazioni dei fattori attenuanti e/o aggravanti previsti dal GDPR ed applicati al caso specifico.
Continua…