Quantificazione delle sanzioni GDPR, adottate le linee guida definitive
Con la pubblicazione del 24 maggio scorso, a seguito della consultazione pubblica, l’European Data Protection Board (EDPB) ha adottato la versione definitiva delle Guidelines 04/2022 on the calculation of administrative fines under the GDPR (Linee Guida 04/2022 riguardo il calcolo delle sanzioni amministrative in base al GDPR) integrando quelle precedentemente adottate (Guidelines on the application and setting of administrative fines WP253), che si concentravano maggiormente sulle circostanze in cui applicare le sanzioni, ai sensi dell’art. 83 del GDPR.
Le presenti linee guida hanno invece l’obiettivo di armonizzare la metodologia nella determinazione delle sanzioni pecuniarie, mediante alcuni principi cardine, lasciando alle singole Autorità di Controllo un imprescindibile margine di discrezionalità.
L’assenza di un criterio matematico specifico ed universale ha la ratio, inoltre, di evitare che possa essere effettuata da parte dei Titolari/Responsabili del trattamento una sorta di “valutazione del rischio a priori” relativa alla commissione di una o più violazioni.
Viene pertanto delineata la seguente metodologia a supporto della quantificazione della sanzione pecuniaria, che dovrà, comunque, essere effettuata valutando la singola fattispecie e nei limiti massimi previsti dall’articolo 83, paragrafi da 4 a 6, del GDPR:
- identificare la/e operazioni di trattamento oggetto della/e violazione/i contestata/e, valutando, nel caso se esse vadano considerate singolarmente o unitariamente;
- considerare innanzitutto i seguenti tre elementi:
- classificazione della/e violazione/i,
- gravità della/e violazione/i,
- fatturato dell’organizzazione;
- valutare le circostanze attenuanti e aggravanti relative al comportamento passato e presente, quali:
- misure di mitigazione adottate e relative tempestività ed efficacia,
- eventuali precedenti violazioni commesse,
- adesione a codici di condotta o a meccanismi di certificazione;
- identificare i massimi edittali rilevanti per ciascuna operazione di trattamento;
- valutare se la sanzione rispetti i requisiti di efficacia, deterrenza e proporzionalità.