I bollettini di House of Data Imperiali sono degli estratti delle Puntate del Servizio di Informazione GDPR (SIG), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il SIG è fruibile tramite abbonamento.

Calcolo delle sanzioni amministrative GDPR -3

Il Comitato europeo (EDPB) ha rilasciato le linee guida 04/2022 sul calcolo delle sanzioni amministrative in base al GDPR, sottoponendole a consultazione pubblica fino al 27 giugno 2022.

Le linee guida suddividono il processo logico di determinazione delle sanzioni pecuniarie in fasi:

  • la prima, consistente nella individuazione di una o più condotte o violazioni ha formato oggetto dell’Editoriale del 16 giugno 2022,
  • la fase 2, relativa al calcolo della sanzione teorica, è stata analizzata nell’Editoriale del 30 giugno 2022; questo calcolo viene effettuato
    • individuando la classe di livello sanzionatorio legale applicabile al caso di specie (cioè, se esso rientra nel livello minore – €10 milioni o 2% del FMTA – oppure nel livello maggiore – €20 milioni o 4% del FMTA
    • valutando la rilevanza della violazione (natura, gravità e durata della violazione, carattere doloso o colposo, categorie di dati personali coinvolte; v. art. 83(2)(a), (b) e (g) GDPR)
    • determinando il valore del FMTA (turnover) dell’organizzazione che ha trasgredito.

Una volta calcolato il livello della sanzione teorica, su di essa possono essere effettuati in successione gli aggiustamenti del caso specifico, vale a dire:

  • fase 3 – l’applicazione dei fattori attenuanti o aggravanti pertinenti
  • fase 4 – l’identificazione del corrispondente livello sanzionatorio legale massimo
  • fase 5 – l’apprezzamento della sanzione così risultante rispetto al principio di effettività, dissuasività e proporzionalità dell’intervento punitivo.

In questa tornata ci soffermiamo sui fattori attenuanti e aggravanti (fase 3).

 

Sintesi

Fasi_determinazione_sanzioni_GDPR
Figura – EDPB Linee guida 04/2022: fasi per la determinazione dell’ammontare della sanzione amministrativa pecuniaria.

Fattori attenuanti e aggravanti

Figura – Fattori attenuanti e aggravanti dell’art. 83(2) in aggiunta a quelli degli elementi oggettivo e soggettivo.

I fattori attenuanti e aggravanti dell’articolo 83(2) – dopo aver esaminato quelli relativi al livello di serietà intrinseca della violazione [art. 83(2)(a) e (g), elemento oggettivo] e dell’intenzionalità della trasgressione [art. 83(2)(b), elemento psicologico o soggettivo] – servono per meglio graduare la sanzione teorica calcolata nella precedente fase 2, alle caratteristiche del caso specifico.

 

Azioni per mitigare i danni sofferti dagli interessati [art. 83(2)(c)]

La lista dei fattori attenuanti o aggravanti per la determinazione delle sanzioni pecuniarie amministrative, nonché per l’adozione delle ulteriori misure dell’articolo 58(2), lettere da (a) a (h) e (J), ma anche per decidere quali delle due tipologie applicare e se applicarle o meno, riprende tenendo in considerazione le misure adottate dal titolare o responsabile del trattamento (cioè del soggetto- ruolo soggettivo cui è imputabile la violazione) al fine di mitigare il danno sofferto dagli interessati.

È interessante sottolineare la differenza con gli obblighi che il GDPR impone a titolari e responsabili, consistenti nell’adozione di misure tecnico-organizzative adeguate al rischio (artt. 24, 25 e 32), intese come garanzie da attuare nella fase fisiologica del trattamento, cioè antecedente alla violazione, con funzione preventiva di eventuali danni che potrebbero derivare da trasgressioni. Come possibile fattore di attenuazione della sanzione, invece, vengono prese in considerazione quelle misure tecnico-organizzative che i richiamati soggetti pongono in essere a valle della violazione commessa, al fine di ridurre i danni conseguenti patiti dagli interessati; questo è il caso tipico di data breach, laddove viene tenuta in considerazione la capacità di reazione del titolare nel contrastare e mitigare gli effetti nocivi della violazione di dati personali sugli interessati coinvolti. Pertanto, le prime misure tecnico-organizzative mirano a tutelare i diritti degli interessati, le seconde hanno lo scopo di mitigare i danni cagionati ai data subject.

In conclusione, non sembri superfluo ribadire che gli effetti dannosi cui qui si fa riferimento sono quelli sofferti dagli interessati coinvolti anzichè quelli dell’organizzazione che ha commesso la violazione.

Le linee guida EDPB 04/2022 precisano che questa valutazione dovrà tenere in debito conto i seguenti elementi:

  • tempestività, cioè la prontezza con cui le misure vengono messe in campo,
  • effettività delle stesse nel raggiungere l’obiettivo di contenimento
  • attuazione spontanea da parte del trasgressore, cioè prima dell’inizio delle investigazioni dell’autorità.

Continua…

Per continuare a leggere questo articolo devi essere abbonato al Servizio di Informazione GDPR.

Sei già abbonato?

Abbonati al SIG

Scopri gli abbonamenti

Data Hub

Scopri di più

Iscriviti al bollettino

Compila il form