Le linee guida per l’applicazione e la previsione delle sanzioni amministrative pecuniarie previste dal GDPR
Il motivo principale che ha spinto la maggior parte delle aziende a adeguarsi al GDPR è la previsione di ingenti sanzioni amministrative pecuniarie. Ai sensi della normativa europea, infatti, le sanzioni possono raggiungere limiti massimi di 20 milioni di Euro ovvero il 4% del fatturato mondiale dell’azienda, riferito all’anno precedente.
Il Gruppo di Lavoro Articolo 29, il 3 ottobre 2017, ha adottato delle linee guida utili a tutte le Autorità di controllo dei singoli Stati membri per l’applicazione delle sanzioni amministrative pecuniarie.
Il Comitato europeo ha raggiunto un’intesa sui criteri di valutazione per l’imposizione di sanzioni amministrative pecuniarie, soprattutto nel caso di trattamenti dei dati transfrontalieri, al fine di adottare un approccio coerente e comune da parte di tutte le Autorità di controllo.
Facciamo un passo indietro.
Il Regolamento UE 2016/679 dispone che le misure correttive scelte dalle Autorità di controllo, nonché le sanzioni amministrative pecuniarie, dovrebbero essere effettive, proporzionate e dissuasive.
In aggiunta ai poteri riconosciuti dall’art. 58, paragrafo 2, l’art. 83, paragrafo 2, del GDPR prevede un elenco di criteri che le Autorità di controllo devono usare per valutare sia l’opportunità di irrogare una sanzione amministrativa, che l’importo della sanzione stessa.
Lo scopo delle linee guida del 3 ottobre 2017 è quello di indicare orientamenti alle Autorità di controllo nell’eseguire le suddette valutazioni, affinchè le sanzioni siano appunto effettive, proporzionate e dissuasive.
Infatti, le singole Autorità di controllo dovranno tenere in considerazione i seguenti criteri.
- La natura, gravità e durata della violazione. Il Regolamento, prevedendo due diversi massimali per le sanzioni amministrative pecuniarie (10 mln o 2% del fatturato; 20 mln o 4% del fatturato), fornisce una indicazione della natura delle violazioni. Ad esempio, la violazione del trattamento per le condizioni relative al consenso prevede una sanzione sino ai 20mln di euro (o 4% del fatturato dell’anno precedente) e, pertanto, sarà considerata più grave rispetto alle violazioni degli obblighi del titolare o del responsabile del trattamento. La natura della violazione e l’oggetto o la finalità del trattamento nonché il numero degli interessati lesi dal danno e il livello del danno da questi subito forniranno un’indicazione circa la gravità della violazione. Inoltre, l’Autorità di controllo dovrà valutare anche la durata dell’infrazione, tenendo in considerazione se vi è stata una: i) condotta intenzionale da parte del titolare del trattamento; ii) mancata adozione di misure preventive appropriate; iii) incapacità di attuare le misure tecniche e organizzative richieste.
- Il carattere doloso o colposo della violazione.
- Le misure adottate dal titolare o dal responsabile del trattamento per attenuare il danno subito dagli interessati. I titolari e i responsabili del trattamento hanno l’obbligo di adottare misure tecniche e organizzative adeguate al livello di rischio, volte a garantire un livello di sicurezza dei dati trattati, nonché condurre valutazioni di impatto sulla protezione dei dati. Quando si verifica una violazione e l’interessato ne subisce i danni, la parte responsabile dovrebbe fare quanto in suo potere per ridurre le conseguenze della violazione per il o i soggetti coinvolti.
- Il grado di responsabilità del titolare o del responsabile del trattamento. L’Autorità di controllo dovrà tener conto delle misure tecniche e organizzative messe in atto dal titolare o dal responsabile del trattamento in virtù degli artt. 25 e 32 del GDPR. Infatti, il grado di responsabilità delle suddette figure dovrà essere valutato sulla base dell’adozione di una misura correttiva appropriata e può dipendere da alcuni aspetti: i) se il titolare ha adottato misure tecniche e organizzative in virtù del principio di privacy by design e privacy by default; ii) il titolare o responsabile del trattamento ha messo in atto un livello di sicurezza adeguato; iii) le policy di protezione dei dati sono conosciute e applicate al livello adeguato di gestione dell’organizzazione.
- Eventuali precedenti violazioni pertinenti commesse dal titolare o dal responsabile del trattamento.
- Il grado di cooperazione con l’Autorità di controllo al fine di porre rimedio alla violazione e attuarne i possibili effetti negativi.
- Le categorie di dati personali interessate dalla violazione.
- La modalità in cui l’Autorità di controllo ha preso conoscenza della violazione (ad esempio, la notifica di data breach).
- Qualora siano stati precedentemente disposti provvedimenti di cui all’art. 58, paragrafo 2, del GDPR da parte dell’Autorità di controllo.
- L’adesione ai codici di condotta approvati o ai meccanismi di certificazione. Tali adesioni possono essere utilizzate dal titolare o dal responsabile del trattamento per dimostrare la conformità alla normativa europea.
- Eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze (ad esempio, benefici finanziari conseguiti dal titolare/responsabile del trattamento o perdite evitate quale conseguenza della violazione).
Alla luce dei suddetti criteri di valutazione, è opportuno dover ricordare l’importanza dell’accountability del titolare del trattamento, principio cardine del GDPR, il quale dovrà non solo adottare misure tecniche e organizzative adeguate alla protezione dei dati personali, ma anche eseguire una valutazione dei rischi o di impatto per prevedere un eventuale piano di azione e miglioramento per l’adozione di ulteriori misure di sicurezza, che permettano l’abbassamento della probabilità che determinati rischi per i diritti e le libertà degli interessati possano verificarsi.