Il Garante privacy danese emette le nuove linee guida sulle sanzioni da GDPR

Il Garante privacy danese ha pubblicato le nuove linee guida sulla determinazione dell’entità delle sanzioni in caso di violazione del GDPR che possono essere di notevole supporto nella quantificazione del rischio ai sensi della normativa sul trattamento dei dati personali.

Il garante privacy danese, il Datatilsynet, ha recentemente annunciato di essersi unita alla Polizia nazionale danese e all’ufficio del Procuratore Generale nella stesura di una Guida esplicativa al calcolo delle sanzioni comminabili in caso di violazione da parte delle aziende del Regolamento (UE) 679/2016 (il “GDPR”) e alla relativa scheda di sintesi.

L’Autorità sul trattamento dei dati personali ritiene che la guida risponda alla crescente domanda di trasparenza dei criteri seguiti dalle Supervisory Authorities nella determinazione delle sanzioni amministrative pecuniarie, tema peraltro già approcciato nelle Linee Guida n. 253/2017 dell’allora Gruppo di Lavoro dell’Articolo 29.

La guida delinea sei categorie di infrazioni ed analizza gli elementi e le circostanze che incidono sugli “importi base” calcolati secondo le indicazioni dell’articolo 83 GDPR. Le categorie seguono un ordine di gravità crescente. Ad esempio, nella categoria 1 figura “Cooperazione con Autorità di Controllo” (art. 31) mentre nella 6 sono riportati i vizi del consenso (art. 7) o la mancanza di trasparenza (art. 12).

In ragione dell’infrazione commessa, è imponibile una maggiorazione del 5% dell’importo base per violazioni ricomprese nelle categorie 1-4, del 10% alle categorie 2-5 e del 20% a quelle in 3-6. Inoltre, il Garante danese accorda un adattamento decrementale per le sanzioni a micro-imprese, le piccole imprese e le medie imprese, tenuto conto della proporzione tra fatturato annuale e quota di mercato. Le linee guida forniscono un’attenta analisi degli elementi descritti dall’articolo 83(2) lett. a) per poi soffermarsi sul peso nella determinazione dell’importo sanzionatorio delle circostanze attenuanti e aggravanti dell’infrazione. In conclusione, sono riportate rilevanti riflessioni sull’effetto distorsivo di sanzioni onerose sugli equilibri concorrenziali europei, sull’inability to pay ed fattori specifici che giustificano l’adeguamento dell’importo alle condizioni finanziarie, sociali ed economiche del sanzionato.

La decisione del garante privacy danese è un importante tentativo di razionalizzazione e potrebbe costituire la stella polare per future decisioni analoghe in Europa.  Al momento, il Garante italiano non ha emanato regole specifiche orientate in tal senso. Tuttavia, secondo quanto emerso dal DLA Piper GDPR fines and data breach survey: January 2021, il Garante privacy italiano detiene il primato europeo con riguardo al valore aggregato delle sanzioni irrogate dall’entrata in vigore del GDPR. Tale dato incontra un singolare contrappeso nel numero di notifiche di data breach ricevute: il più basso in Europa.

Su un simile argomento, può essere interessante l’articolo “GDPR: € 114 milioni il valore delle sanzioni imposte dalle autorità privacy europee”.