I bollettini di House of Data Imperiali sono degli estratti delle Puntate del Servizio di Informazione GDPR (SIG), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il SIG è fruibile tramite abbonamento.

SCOPRI GLI ABBONAMENTI

Calcolo delle sanzioni amministrative GDPR -2

Il Comitato europeo (EDPB) ha rilasciato le linee guida 04/2022 sul calcolo delle sanzioni amministrative in base al GDPR, sottoponendole a consultazione pubblica fino al 27 giugno 2022.

Le linee guida suddividono il processo logico di determinazione delle sanzioni pecuniarie in fasi: la prima, consistente nella individuazione di una o più condotte o violazioni ha formato oggetto dell’Editoriale del 16 giugno 2022.

In questa tornata ci soffermiamo sulla seconda fase relativa alla determinazione provvisoria della misura teorica della sanzione.

Sintesi

Fasi_determinazione_sanzioni_GDPR
Figura – EDPB Linee guida 04/2022: fasi per la determinazione dell’ammontare della sanzione amministrativa pecuniaria.

 

Regole comuni

Se la fase 1 ha come obiettivo sostanziale quello di stabilire il numero di sanzioni applicabili, le restanti fasi mirano in pratica a determinarne la misura. Vi sono alcune regole generali sulla determinazione della misura delle sanzioni che si applicano a qualunque casistica:

  • le sanzioni GDPR non prevedono un livello minimo; è discrezione dell’autorità di controllo per i casi ritenuti di minore trasgressione, sostituire la sanzione pecuniaria con un provvedimento di ammonimento [art. 58(2)(b) GDPR]; la valutazione circa il livello trascurabile della violazione – che giustifica l’adozione del provvedimento di ammonimento in sostituzione della sanzione pecuniaria – viene effettuata adottando i medesimi criteri di valutazione che il GDPR richiede per la determinazione della sanzione pecuniaria. L’articolo 83(2) infatti recita: «2. Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all’articolo 58, paragrafo 2, lettere da a) a h) [tra cui vi è l’ammonimento: nda] e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:» (enfasi aggiunta).
  • La sanzione pecuniaria irrogata non può mai superare il livello massimo legale previsto per la singola violazione (cioè €10 milioni o il 2% del Fatturato Mondiale Totale Annuo (“FMTA”) oppure € 20 milioni o il 4% del FMTA dell’organizzazione, costituenti le due misure indicate nel GDPR in base alla differente gravità delle tipologie di violazioni).
  • La sanzione inflitta deve risultare in ogni caso effettiva, proporzionata e dissuasiva.

 

Fase 2 – Rilevanza della violazione

Oggetto della fase 2 è la determinazione del grado di rilevanza della violazione. Questo processo viene eseguito tenendo in considerazione gli elementi soggettivi e oggettivi della condotta del soggetto responsabile nel caso specifico; precisamente:

  • Natura, gravità e durata della violazione nonchè le categorie di dati personali coinvolti (cosiddetto “elemento oggettivo”)
  • Carattere intenzionale o negligente del comportamento del trasgressore (cosiddetto “elemento soggettivo”).

La combinazione della valutazione dell’elemento oggettivo e soggettivo conduce al giudizio unitario riguardo al grado di rilevanza della violazione. A questa valutazione iniziale, si aggiungeranno poi nelle successive fasi le valutazioni dei fattori attenuanti e/o aggravanti previsti dal GDPR ed applicati al caso specifico.

Continua…

Per continuare a leggere questo articolo devi essere abbonato al Servizio di Informazione GDPR.

ABBONATI ORA

Sei già abbonato?

ACCEDI

Abbonati al SIG

Scopri gli abbonamenti

Data Hub

Scopri di più

Iscriviti al bollettino

Compila il form

Logo_HouseofData_tutto_bianco_home1

CONTATTI

segreteria@imperialida.com

Via Santa Maria Valle, 3, 20123, Milano

Iscriviti al bollettino

Info4