I bollettini di House of Data Imperiali sono degli estratti delle Puntate del Servizio di Informazione GDPR (SIG), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il SIG è fruibile tramite abbonamento.

Calcolo delle sanzioni amministrative GDPR -4

Il Comitato europeo (EDPB) ha rilasciato le linee guida 04/2022 sul calcolo delle sanzioni amministrative in base al GDPR, sottoponendole a consultazione pubblica fino al 27 giugno 2022. 

Le linee guida suddividono il processo logico di determinazione delle sanzioni pecuniarie in fasi:  

  • la prima, consistente nella individuazione di una o più condotte o violazioni ha formato oggetto dell’Editoriale del 16 giugno 2022 
  • la fase 2, relativa al calcolo della sanzione teorica, è stata analizzata nell’Editoriale del 30 giugno 2022, questo calcolo viene effettuato
    • individuando la classe di livello sanzionatorio legale applicabile al caso di specie (cioè, se esso rientra nel livello minore – €10 milioni o 2% del Fatturato Mondiale Totale Annuo (“FMTA”) – oppure nel livello maggiore – €20 milioni o 4% del FMTA 
    • valutando la rilevanza della violazione (natura, gravità e durata della violazione, carattere doloso o colposo, categorie di dati personali coinvolte; v. art. 83(2)(a), (b) e (g) GDPR) 
    • determinando il valore del FMTA (turnover) dell’organizzazione che ha trasgredito. 

Una volta calcolato il livello della sanzione teorica, su di essa possono essere effettuati, in successione, gli aggiustamenti del caso specifico, vale a dire: 

  • fase 3 – l’applicazione dei fattori attenuanti o aggravanti pertinenti, oggetto dell’Editoriale del 14 luglio 2022;   
  • fase 4 – l’identificazione del corrispondente livello sanzionatorio legale massimo 
  • fase 5 – l’apprezzamento della sanzione così risultante rispetto al principio di effettività, dissuasività e proporzionalità dell’intervento punitivo. 

In questa tornata ci soffermiamo sul calcolo del FMTA (fase 4) e sul principio di effettività, dissuasività e proporzionalità della sanzione (fase 5).

 

Sintesi

Fasi_determinazione_sanzioni_GDPR
Figura – EDPB Linee guida 04/2022: fasi per la determinazione dell’ammontare della sanzione amministrativa pecuniaria.

 

Fatturato globale in fase 2 e 4

Secondo il processo di determinazione della sanzione pecuniaria amministrativa suggerito dalle linee guida 04/2022 dell’EDPB, il turnover della organizzazione (FMTA) che ha commesso la violazione viene tenuto in considerazione in due distinti momenti: 

  1. in fase 2, al fine di graduare l’ammontare teorico iniziale della sanzione al livello del turnover, per rispondere al principio che la sanzione sia effettiva, dissuasiva e proporzionata; cioè, minore è il turnover e minore è il livello di sanzione applicabile, all’interno del tetto massimo legale 
  1. in fase 4, soprattutto al fine di determinare il livello massimo legale della sanzione, avendo anche sempre come riferimento il principio della effettività, dissuasività e proporzionalità.  

La valutazione del FMTA nelle due fasi ha un’indubbia correlazione: come evidenziato nelle linee guida, l’autorità non dovrà calcolare due volte le medesime circostanze ma piuttosto riconsiderare la propria valutazione dell’adeguata sanzione teorica iniziale (fase 2). Il FMTA, quindi, serve sia per rispettare il principio di effettività, dissuasività e proporzionalità della sanzione sia per determinare il livello massimo legale della sanzione applicabile.

 

Concetto di FMTA

La misura variabile della sanzione pecuniaria amministrativa è calcolata in base a una percentuale (2% o 4%) del Fatturato Mondiale Totale Annuo dell’organizzazione nell’esercizio precedente.

Concetto di “undertaking

Il concetto di organizzazione (“undertaking”) è preso a prestito dalla disciplina antitrust e va inteso come “unità economica” anziché come “entità legale”. Di conseguenza, il FMTA da calcolare non è quello della singola società che ha trasgredito bensì quello cumulato di tutte le entità legali che possono costituire un’unica unità economica (cosiddetta teoria della unica entità economica).  

Ed allora: qual è il criterio secondo cui più entità legali formano un’unica entità economica? Secondo l’EDPB – che in proposito richiama gli artt. 101 e 102 TFEU e la giurisprudenza della CGUE – il criterio è quello dell’esercizio di un’influenza decisiva su altre società, per cui “different companies belonging to the same group can form an economic unit and therefore an undertaking”.  

Tutte le società di un medesimo gruppo formano necessariamente una “undertaking”? Non proprio.  

In primo luogo, prendendo spunto dalla decisione della CGUE nel caso C-97/08 Akzo Nobel e altri c. Commissione, sussiste una presunzione relativa (cioè, superabile tramite prove oggettive) che il possesso del 100% o quasi delle azioni, costituisca un’evidenza dell’influenza decisiva esercitata dalla società controllante sulla controllata (cosiddetta presunzione Akzo). In tal caso, per l’autorità di controllo è sufficiente rilevare il controllo, diretto o indiretto, del 100% o quasi delle azioni della controllata, per stabilire la presenza di un’influenza decisiva e, di conseguenza, la formazione di un’unica entità economica tra le due società. Sarà onere delle società coinvolte, con inversione dell’onere della prova, dimostrare viceversa che nonostante la partecipazione azionaria di controllo, la società posseduta eventualmente goda di un’autonomia decisionale, sulla base delle circostanze di fatto del singolo caso. 

In assenza di una partecipazione di controllo pari al 100% delle azioni o quasi, secondo l’EDPB, per affermare la presenza di un’unica entità economica tra più entità giuridiche (undertaking) l’autorità di controllo deve aggiungere alla dimostrazione della teorica esistenza di un’influenza decisiva dell’una società sull’altra, anche la dimostrazione dell’effettivo esercizio di tale influenza decisiva (EDPB, cit. par. 126). 

Quindi, il cumulo del FMTA riguarderà quelle entità legali legate da “economic, legal and organizational links (… considering) for example, the amount of the participation, personnel or organizational ties, instructions and the existence of company contracts” (EDPB, linee guida 04/2022, par. 118 e ss.).  

In conclusione, la determinazione del FMTA non è immediata e richiede una valutazione caso per caso.

Continua…

Per continuare a leggere questo articolo devi essere abbonato al Servizio di Informazione GDPR.

Sei già abbonato?

Abbonati al SIG

Scopri gli abbonamenti

Data Hub

Scopri di più

Iscriviti al bollettino

Compila il form