GDPR: consultazione pubblica sulle nuove regole Ue per il calcolo delle sanzioni

L’ European Data Protection Board (EDPB), lo scorso 12 maggio 2022 ha pubblicato per la consultazione pubblica le nuove linee guida sul calcolo delle sanzioni amministrative ai sensi del GDPR.

Le Autorità di Controllo europee, di fatto, formulano per la prima volta una metodologia comune per il calcolo delle sanzioni. Essa consiste in cinque fasi e ha lo scopo di contribuire a un’ulteriore armonizzazione e trasparenza della pratica sanzionatoria. Si ritiene che l’EDPB, sulla base del feedback ricevuto, molto probabilmente esse conterranno chiarimenti piuttosto che modifiche dal momento che rispecchiano la linea comune delle Autorità di Controllo europee e, pertanto, è opportuno che le organizzazioni inizino già da ora a prenderle in considerazione.

Le nuove linee guida sulle procedure per stabilire la sanzione del GDPR

Di seguito viene illustrata una sintesi della metodologia proposta in cinque fasi.

• Fase 1: una o più infrazioni – Le linee guida stabiliscono un approccio graduale per il calcolo delle ammende oltre a sottolineare che tale calcolo non è da considerarsi un semplice esercizio matematico. Ovvero: le Autorità di Controllo devono esercitare il loro giudizio e non sono obbligate a seguire tutti i passaggi se non sono applicabili in un dato caso ed a fornire argomentazioni su aspetti che non sono applicabili.

L’EDPB sottolinea, inoltre, che è importante stabilire:

• se le circostanze siano da considerarsi o meno come uno o più “comportamenti” sanzionabili;
• nel caso di un solo comportamento, se tale comportamento dia luogo o meno a una o più violazioni,
• se sia lecito o meno sanzionare due volte l’autore del reato per lo stesso illecito.

In questo modo si riuscirà a stabilire se si è di fronte a un unico importo massimo di sanzione (i.e. 10 milioni di euro/2% del fatturato annuo mondiale o 20 milioni di euro/4% del fatturato annuo mondiale ai sensi del GDPR) o a importi massimi separati per violazioni separate.

Risulta rilevante la presa di posizione sull’unicità dei comportamenti e il criterio di calcolo delle sanzioni in caso di molteplicità delle violazioni. Pertanto, anche se vi sono più violazioni, perseguite attraverso la stessa cattiva condotta, se fanno parte di un’unica linea di condotta, sarà applicata un’unica sanzione fissata sulla base della soglia più alta applicabile. Sembra una conclusione ovvia, ma le autorità per la protezione dei dati non l’avevano ancora esplicitata.

• Fase 2 – Determinazione del valore di partenza della sanzione – Le linee guida forniscono un’indicazione del processo atto a stabilire il “punto di partenza” per la definizione della sanzione amministrativa, pur sottolineando che le Autorità di Controllo dovrebbero indicare l’esatto importo di partenza. Pertanto, si tratta di stabilire, in primis, la gravità dell’infrazione tenendo in considerazione:
• se la violazione è punibile con l’ammenda massima inferiore ai sensi dell’articolo 83, paragrafo 4, del GDPR (10 milioni di euro / 2% del fatturato annuo mondiale) o con la sanzione massima più elevata ai sensi dell’articolo 83, paragrafi 5 e 6, del GDPR (20 milioni di euro / 4 % del fatturato annuo mondiale);
• se la violazione è stata intenzionale o negligente;
• la natura, l’ambito, il contesto e le finalità del trattamento (incluso se il trattamento fa parte delle “attività principali” del titolare del trattamento o del responsabile);
• il livello del danno subito dagli interessati che – secondo le Linee guida con riferimento al considerando 75 GDPR – include danni fisici, materiali o morali;
• la durata dell’infrazione, ovvero come regola generale, maggiore è la durata dell’infrazione, maggiore è il peso che l’Autorità di Controllo dovrebbe attribuire a questo fattore. Le linee guida rilevano, di fatto, che “se consentito dalla normativa nazionale, possono essere presi in considerazione, nella quantificazione della sanzione, sia il periodo successivo alla data di entrata in vigore del GDPR sia il periodo precedente”;
• le categorie di dati personali interessate.

Doveroso sottolineare come viene ripreso il concetto di impresa, che è più ampio della singola azienda e potrebbe rappresentare un rischio per gruppi molto integrati (es. società con un unico DPO di gruppo). Inoltre, è interessante notare che l’EDPB ritenga che l’“anno precedente” – ai fini del calcolo della sanzione- sia quello precedente alla decisione dell’Autorità Garante della Privacy e non quello precedente la violazione. Questa conclusione potrebbe avere ricadute sostanziali in paesi come l’Italia dove le sanzioni vengono emesse diversi anni dopo la violazione e dove, nel frattempo, l’attività potrebbe crescere, anche a causa dell’inflazione.

Le Autorità di Controllo, sulla base dei criteri sopra riportati, assegneranno un’infrazione di partenza a seconda che sia stata riscontrata una gravità “bassa”, “media” o “alta”, come segue:

• Per infrazioni di “bassa” gravità: tra lo 0 e il 10% del massimo di legge.

• Per infrazioni di “media” gravità: tra il 10 e il 20% del massimo di legge.

• Per infrazioni di “alta” gravità: tra il 20 e il 100% del massimo di legge.

Esempi di violazione – riferiti alla funzione marketing, alle violazioni dei dati e alle richieste di accesso degli interessati – sono forniti a titolo esemplificativo dell’elaborazione del calcolo delle sanzioni. Inoltre, sempre all’interno delle linee guida, viene puntualizzato come le Autorità di Controllo possono decidere se ridurre il valore del punto di partenza di calcolo della sanzione, tenendo in considerazione il fatturato dell’impresa in questione e fornendo esempi di scenari ipotetici.

• Fase 3 – Circostanze aggravanti e attenuanti – Dopo aver determinato il punto di partenza per il calcolo dell’ammenda, sarà necessario prendere in considerazione tutte le circostanze del caso e soppesarle prima di determinare l’ammenda finale da infliggere al titolare del trattamento o al responsabile del trattamento. In questa terza fase, le Autorità per la protezione dei dati dovrebbero considerare eventuali circostanze aggravanti e attenuanti relative al comportamento passato o presente del titolare del trattamento o del responsabile del trattamento in base all’articolo 83, paragrafo 2, del GDPR (i.e. azioni intraprese dal titolare o responsabile del trattamento per mitigare i danni subiti dagli interessati, nonché eventuali precedenti violazioni del GDPR). Ove applicabili, circostanze aggravanti e attenuanti possono comportare un aumento o una diminuzione della sanzione finale.
• Fase 4 – Verifica vs. massimo legale applicabile – Si tratta di verificare che l’ammenda che si intende infliggere non ecceda il massimo legale applicabile qualora si trovi a considerare le multinazionali – come da definizione di impresa considerata nel diritto dell’UE in materia di concorrenza che presume che (direttamente o indirettamente) le società controllate al 100% facciano parte della stessa “impresa” della loro capogruppo – con il conseguente effetto di aumentare notevolmente la sanzione massima legale.
• Fase 5 – Analizzare se l’importo finale è effettivo, dissuasivo e proporzionato – Le Autorità di Controllo devono effettuare una valutazione finale per stabilire se la sanzione sia “effettiva, dissuasiva e proporzionata” come richiesto dall’articolo 83, paragrafo 1, del GDPR. Ovvero, la sanzione deve raggiungere i suoi obiettivi (i.e. stabilire la conformità o sanzione) e fungere da “vero effetto deterrente” sia sul titolare o responsabile della violazione sia su coloro che potrebbero commettere la stessa violazione.

Una questione di gestione del rischio, continuità operativa e cybersecurity

A distanza di 4 anni dall’entrata in vigore del GDPR, le aziende non sono ancora sufficientemente strutturate per gestire in modo efficace ed efficiente la gestione del rischio relativo ai dati soprattutto considerando che operano in un contesto caratterizzato da un processo accelerato di digitalizzazione e un continuo incremento di attacchi hacker in atto. Ovvero, non mostrano ancora una sufficiente proattività a sfruttare i principi di risk management unitamente a quelli di business continuity e cybersecurity per la progettazione di strategie strutturate e soluzioni preventive.

Uno dei punti cardine del GDPR è rappresentato dall’obbligo per ogni organizzazione di dotarsi di un processo continuo di analisi e monitoraggio, strutturato in fasi e attività, finalizzato a porre i dati personali al riparo dai rischi di perdita di riservatezza, integrità e disponibilità. Ovvero, l’analisi è finalizzata ad individuare il livello di esposizione al rischio dei dati personali trattati e, di conseguenza, individuare gli ambiti su cui focalizzare gli interventi, ottimizzando l’impiego delle risorse a disposizione. Inoltre, dopo aver definito gli obiettivi di controllo e gli indicatori di performance chiari e misurabili, è necessario garantire, altresì, il monitoraggio in termini di: efficaci ed efficienti misure di sicurezza; effettiva e corretta applicazione del framework; conformità ai requisiti del GDPR oltre a valutarne l’efficacia nel tempo.

Il risk management, coadiuvato dalla business continuity e cybersecurity, se correttamente implementati, si convertono in una leva strategica per la protezione della privacy soprattutto quando ci troviamo difronte a organizzazione cosiddette “bioniche”, che si affidano alla tecnologia e alle persone, migliorando in questo modo la resilienza e preparare l’organizzazione ad “anticipare l’imprevisto”, senza trascurare la necessità di una formazione e di esercitazioni ad hoc per il personale.

Conclusioni

Nei quattro anni trascorsi dall’entrata in vigore del regolamento, l’EDPB ha riscontrato una mancanza di coerenza nel modo in cui sono comminate le sanzioni. È in questa direzione che va interpretata la bozza delle linee guida che possono facilitare un approccio proporzionato all’ammenda per le società con un fatturato “contenuto”, ma solleva una serie di questioni preoccupanti per i titolari e incaricati del trattamento soggetti al GDPR che fanno parte di gruppi aziendali con grandi ricavi globali.

È doveroso osservare come sia la discrezionalità delle Autorità di Controllo riferita ai ricavi nelle varie fasi della metodologia proposta dall’EDPB sia le difficoltà che i titolari e gli incaricati del trattamento potrebbero incontrare nel persuadere le Autorità che qualsiasi attenuazione è giustificata, potrebbe sfociare in sanzioni più elevate in UE contro società/gruppi ad alto reddito.

Ne consegue che le organizzazioni dovranno sempre più garantire un approccio risk-based per determinare il proprio profilo di rischio, tenendo presente i fattori delineati dall’EDPB. Inoltre, la rinnovata attenzione all’applicazione delle sanzioni amministrative ci deve far riflettere sulla sempre maggiore importanza del GDPR a livello europeo. Pertanto, le organizzazioni non avranno più attenuati e dovranno essere in grado di dimostrare il loro impegno nei confronti della privacy e della protezione dei dati senza dimenticare che, per cogliere appieno i benefici dell‘innovazione connaturata alla data economy, occorreranno altresì figure professionali specializzate. Inoltre, i Paesi dell’UE dovrebbero impegnare maggiori risorse atte a formare nuovi e sempre più esperti data scientist e a ridurre – pur con le necessarie cautele e con le adeguate misure – le barriere che ancora ostacolano il flusso di dati tra Paese e Paese.