Dopo quattro anni di applicazione del GDPR, sono 5 gli step proposti dall’EDPB nel tentativo di armonizzare e rendere più trasparente il calcolo delle sanzioni per le violazioni del Regolamento. In linea generale, una volta determinate quali siano le condotte rilevanti, il calcolo della sanzione parte dalla valutazione della gravità della violazione in una scala che contempla tre valori: basso, medio e alto. La presenza di eventuali circostanze aggravanti o attenuanti può influire in termini di diminuzione o aumento del primo calcolo effettuato. L’ammontare della sanzione può ulteriormente essere modificato nel caso in cui l’autorità rilevi che il calcolo, fino al quel momento effettuato, non rispetti i principi di efficacia, dissuasione e proporzionalità della sanzione. Di seguito i 5 step proposti dall’EDPB:
STEP 1: Stabilire quali sono le condotte sanzionabili
È necessario considerare su quali comportamenti sarà fondata la sanzione. In particolare, dovrà osservarsi se le circostanze emerse abbiano dato luogo ad una o più condotte sanzionabili; se le condotte costituiscano un unico comportamento e diano luogo, ciascuna, ad un’unica infrazione o ad una molteplicità di violazioni. Ancora, sarà da valutare se l’attribuzione di una violazione precluda l’attribuzione di una seconda violazione ovvero se debbano considerarsi cumulabili. Appare evidente come tale valutazione debba essere svolta caso per caso non potendo definirsi a priori.
STEP 2: Identificare il punto di partenza per il calcolo della sanzione
Il Comitato europeo, in linea con quanto previsto dall’art. 83 del GDPR, considera tre elementi costituenti il punto di partenza per il calcolo della sanzione:
- La categorizzazione delle infrazioni in base alla loro natura. A seconda della natura della violazione la sanzione sarà considerata, astrattamente, rientrante nella fattispecie di minor gravità (e quindi sanzionata fino a 10 milioni o 2% del fatturato annuo) oppure di maggior gravità (e quindi sanzionata fino a 20 milioni o 4% del fatturato annuo);
- La gravità dell’infrazione. La gravità sarà valutata tenendo conto della durata della violazione, della finalità del trattamento, del numero di interessati e categorie di dati coinvolti nonché degli effettivi (o potenziali) impatti sugli interessati derivanti dalla condotta posta in essere, ecc..;
- Il fatturato dell’impresa come elemento rilevante da prendere in considerazione per imporre un’ammenda efficace, dissuasiva e proporzionata.
STEP 3: Valutare eventuali circostanze aggravanti o attenuanti
Un primo passo utile a determinare la sussistenza di fattori aggravanti e attenuanti è quello di verificare ed esaminare le azioni intraprese dal Titolare o Responsabile al fine di prevenire o mitigare i danni sugli interessati. L’adozione tempestiva di misure mitigative efficaci ed adeguate a ridurre gli impatti della violazione sugli interessati può essere considerata quale attenuante. Ulteriori attenuanti potranno altresì essere, a titolo esemplificativo: (i) la cooperazione del Titolare o Responsabile con l’Autorità di controllo, finalizzata a porre rimedio alla violazione e attenuare possibili effetti negativi verso gli interessati; (ii) l‘aver segnalato di propria iniziativa l’avvenuta violazione all’autorità di controllo; (iii) l’adesione a codici di condotta approvati secondo il meccanismo previsto dal GDPR. Al contrario, la reiterata condotta del Titolare o Responsabile – già oggetto di precedente sanzione da parte dell’Autorità di controllo – sarà considerata aggravante. Altresì saranno considerate aggravanti gli eventuali vantaggi finanziari o le perdite evitate, direttamente o indirettamente, dalla violazione.
STEP 4: Determinare i massimali per ciascuna violazione identificata
Il GDPR individua gli importi massimi delle sanzioni applicabili. L’Autorità di controllo deve vigilare affinché le sanzioni non superino detti importi massimi. Tenuto conto della componente dinamica delle sanzioni, legata, in determinate circostanze, al fatturato dell’impresa soggetta alla sanzione, diventa di centrale importanza determinare con attenzione il fatturato dell’impresa e la responsabilità della società. Ulteriore cura e attenzione dovrà essere prestata qualora la condotta sanzionabile sia commessa da una società controllata facente parte di un gruppo di imprese. In tal caso, la corretta individuazione del fatturato ai fini del calcolo della sanzione dipenderà anche dall’influenza concreta della controllante sulla società controllata.
STEP 5: Valutare se la sanzione rispetta i requisiti di efficacia, dissuasione e proporzionalità.
In particolare, l’Autorità di controllo dovrà assicurarsi che la sanzione sia adeguata alla violazione e proporzionata rispetto alla stessa. Ciò significa che l’Autorità deve vigilare affinché la sanzione stessa non superi i limiti di ciò che può considerarsi come appropriato o necessario per raggiungere gli obiettivi del GDPR, ossia la protezione delle persone fisiche e delle loro libertà. In particolare, in caso di scelta tra più misure appropriate, si deve ricorrere alla meno onerosa, e gli svantaggi causati non devono essere sproporzionati rispetto agli obiettivi perseguiti. In sintesi, la sanzione dovrebbe essere sufficiente a scoraggiare il sanzionato e altri soggetti dal ripetere o commettere la medesima violazione, senza tuttavia sfociare nell’eccessività e non proporzionalità rispetto alla condotta commessa e agli effetti prodotti.
Come ripetuto più volte dal Comitato europeo, l’intento delle Linee Guida non è quello di fornire un preciso calcolo matematico al quale le diverse Autorità dovranno attenersi, quanto più una comune e condivisa metodologia, delineata nei suoi tratti essenziali, per il raggiungimento dei citati obiettivi di armonizzazione e trasparenza.
Data inoltre l’impossibilità di stabilire precise regole valevoli per ogni prospettabile casistica, le Autorità dispongono comunque di un rilevante spazio di manovra per la quantificazione delle sanzioni.
Questa metodologia condivisa, oltre al perseguimento di una maggiore armonizzazione, potrà facilitare professionisti ed imprese di settore nella valutazione delle condotte potenzialmente non conformi.
Tuttavia per una puntuale valutazione dell’effetto di queste Linee Guida, sarà necessario attendere prima di tutto la loro pubblicazione e, successivamente, la loro applicazione da parte delle singole Autorità.