Nate con lo scopo di armonizzare i metodi utilizzati dalle varie Autorità di controllo (il Garante per la protezione dei dati personali per l’Italia) per calcolare l’importo delle sanzioni previste dal GDPR, in realtà le Linee guida 04/2022 sul calcolo delle sanzioni ammnistrative forniscono spunti di riflessione anche per i titolari ed i responsabili del trattamento quali potenziali destinatari delle stesse.
Pur rimanendo la discrezionalità della singola Autorità di controllo, la metodologia enucleata dalle Linee guida prevede cinque fasi.
L’individuazione dei trattamenti effettuati e la valutazione dell’applicazione dell’articolo 83, paragrafo 3, del GDPR
Requisito preliminare per il calcolo della sanzione è l’analisi delle circostanze di fatto in rapporto alla condotta astrattamente sanzionabile. È infatti possibile che una determinata condotta possa dar luogo ad infrazioni diverse oppure debbano essere considerate come un comportamento unico con conseguente sanzione unitaria. Sarà dunque necessario stabilire, nell’ordine:
- se le circostanze siano da considerarsi come una o più condotte sanzionabili;
- in caso di condotta unica condotta, se questa dia luogo ad una o più infrazioni;
- nel caso in cui la condotta dia luogo a più infrazioni, se l’accertamento di un’infrazione precluda o meno la contestazione di un’altra infrazione e se pertanto possano essere comminate sanzioni distinte.
Chiaramente, nell’ultimo caso, l’importo totale della sanzione potrà anche superare l’importo edittale previsto per la violazione più grave, posto che l’aver perpetrato più infrazioni non deve certo costituire un motivo per privilegiare il trasgressore nel calcolo dell’importo finale della sanzione stessa.
L’individuazione della base di calcolo
Per la base di calcolo, secondo l’EDPB, il primo elemento da prendere in considerazione è il tipo di violazione commessa: sul punto è lo stesso GDPR che prevede sanzioni meno gravi per le condotte di cui all’art. 83, paragrafo 4, e sanzioni più gravi per le condotte descritte all’art. 83, paragrafi 5 e 6.
In secondo luogo, è necessario valutare la gravità della violazione sulla base delle circostanze del singolo caso, avendo ben presenti i seguenti elementi:
- la natura della violazione, sempre sulla base del caso concreto, tenendo in considerazione l’interesse che la norma violata mira a proteggere;
- la gravità della violazione, in relazione alla natura del trattamento, ma anche in ragione dell’ambito di applicazione dello stesso, delle relative finalità e del numero dei soggetti interessati coinvolti, anche potenzialmente, nell’infrazione stessa e, non da ultima, dell’entità del danno patito dagli interessati stessi;
- la durata della violazione, attribuendo, naturalmente, maggior peso ad una violazione di durata superiore.
Ulteriore valutazione da effettuare è, neanche a dirlo, il carattere doloso oppure colposo della condotta. Naturalmente l’Autorità di controllo attribuirà maggior peso al carattere intenzionale della violazione mentre, in presenza di condotta negligente, nel migliore dei casi, il comportamento potrebbe essere anche valutato in maniera neutra.
Assumerà rilevanza, altresì, le categorie di dati personali interessate dalla violazione ed anche in questo caso pare ovvio che, laddove entrino in gioco categorie particolari di dati, ai sensi degli artt. 9 del GDPR oppure dati relativi a condanne penali e reati, ex art. 10 del GDPR, la sanzione potrà essere più elevata.
Tale rischio potrebbe peraltro concretizzarsi anche al di fuori del perimetro delle suddette disposizioni, nel caso ad esempio di dati relativi all’ubicazione, alle comunicazioni private o ai dati finanziari. Ed anche questo caso assume importanza la quantità di dati violati.
Sulla base dei suddetti fattori, la violazione potrà essere ritenuta di bassa, media o alta gravità, e le Linee guida indicano le rispettive percentuali del massimo legale della sanzione da applicare alla base di calcolo.
Andrà inoltre tenuto in debita considerazione il fatturato dell’impresa, al fine di imporre una sanzione efficace, proporzionata e dissuasiva: vengono dunque indicati alcuni parametri di adeguamento della sanzione, sulla base del fatturato dell’impresa, con diversi indici da applicare sulla base del fatturato (da minore ai 2 milioni di Euro fino ad arrivare ad oltre 250 milioni di Euro).
La valutazione delle eventuali circostanze aggravanti ed attenuanti relative anche al comportamento passato o presente del titolare/responsabile del trattamento
Il primo passo per capire se si sia in presenza di circostanze aggravanti e/o attenuanti riguarda l’analisi delle azioni intraprese per attenuare il danno subìto dagli interessati, sia in termini di tempestività che di efficacia delle stesse.
Sul grado di responsabilità influirà poi il fatto che il trasgressore abbia fatto ciò che ci si poteva attendere data la natura, la finalità o l’entità del trattamento, alla luce degli obblighi imposti dal GDPR, tenendo a mente i rischi per gli interessati e valutando le conseguenze per gli stessi all’esito dell’adozione delle misure di sicurezza.
Come è apparso chiaro all’indomani dell’emanazione del GDPR, è dunque fondamentale documentare adeguatamente anche il processo decisionale che ha indotto il titolare o il responsabile a compiere determinate scelte per la tutela dei dati e ciò altro non è se non l’estrinsecazione del principio dell’accountability.
Andrà inoltre ponderata l’eventuale presenza di precedenti violazioni, sia per ciò che concerne l’oggetto della violazione (si pensi al caso di recidive), che i tempi della stessa: tanto più è remoto il precedente, tanto minore sarà la sua influenza sull’infrazione in esame.
L’applicazione delle circostanze attenuanti, viceversa, terrà in considerazione il grado di cooperazione del contraffattore nel porre rimedio alla violazione e mitigare i possibili effetti negativi, del modo in cui l’Autorità di controllo è venuta a conoscenza dell’illecito e dell’eventuale conformità a misure precedentemente ordinate dall’Autorità in relazione allo stesso oggetto.
Assumeranno rilevanza anche l’adesione a codici di condotta approvati o a meccanismi di certificazione approvati. Naturalmente, ampio margine è lasciato al controllore nel valutare anche eventuali ulteriori attenuanti non elencate.
L’individuazione dei massimi legali rilevanti per le diverse operazioni di trattamento
L’art. 83 del GDPR prevede dei limiti massimi statici (rispettivamente fino a 10 o 20 milioni di Euro di sanzioni, in base alle violazioni) che non devono essere superati dalle Autorità di controllo. Nel caso di imprese, tuttavia, tali limiti sono sostituibili con quelli dinamici, pari, rispettivamente, fino al 2% o al 4% del fatturato netto totale annuo dell’esercizio precedente, qualora i relativi massimali risultino superiori ai limiti statici: ciò avviene nel caso in cui il fatturato superi dunque i 500 milioni di Euro.
Per la definizione di impresa vale il richiamo agli articoli 101 e 102 del TFUE e può riferirsi anche ad un’unica unità economica benché costituita da più persone fisiche o giuridiche.
La valutazione sull’importo finale della sanzione calcolata, in modo che siano soddisfatti i requisiti di efficacia, proporzionalità e dissuasione
L’ultima valutazione deve riguardare l’intera sanzione e tutte le circostanze concrete, incluso l’eventuale cumulo di più infrazioni ed il risultato all’esito delle variazioni dovute ad aggravanti ed attenuanti. La sanzione sarà efficace se raggiunge gli obiettivi per i quali è stata comminata, come ristabilire l’osservanza delle norme, punire un illecito od entrambi gli scopi. Oppure, più in generale, per rafforzare l’applicazione del GDPR, come dichiarato nel Considerando 148 dello stesso.
La proporzionalità mira ad evitare che le misure adottate eccedano i limiti di quanto sia necessario per raggiungere gli obiettivi delle norme, tenendo conto della gravità della violazione e delle dimensioni dell’impresa. Tra i parametri da considerare rientra anche la sostenibilità economica della sanzione per l’impresa, la circostanza che la sanzione possa mettere a rischio la redditività economica dell’impresa sino a farne perdere la maggior parte del valore ed anche lo specifico contesto sociale ed economico in cui opera.
Con il concetto di dissuasione, infine, si fa riferimento sia a quella generale, volta a scoraggiare altri dal commettere la stessa violazione, sia a quella specifica, finalizzata a fungere da deterrente per l’impresa dal commettere ancora la stessa violazione.