Le linee guida dell’EDPB sul calcolo della sanzione ai sensi del GDPR rivelano aree grigie e incertezze

Sono state pubblicate le tanto attese linee guida dell’EDPB sul calcolo della sanzione ai sensi del GDPR, ma rimangono notevoli aree di incertezza e miglioramento.

Il Comitato europeo per la protezione dei dati (l’EDPB) ha pubblicato le linee guida sul calcolo delle sanzioni ai sensi del GDPR. Di seguito, abbiamo cercato di riassumere i punti principali che ne derivano, sottolineando i punti discutibili.

In particolare, l’EDPB sostiene che non è possibile un mero calcolo matematico delle sanzioni previste dal GDPR, ma delinea un processo in 5 fasi da seguire per determinare le ammende:

1. Identificazione dei trattamenti e valutazione dell’applicazione dell’articolo 83, paragrafo 3, del GDPR 📌 Rilevante è la posizione sull’unicità della condotta e il criterio di calcolo delle sanzioni in caso di molteplicità di violazioni. In quanto tale, anche se ci sono più violazioni perseguite attraverso la stessa condotta scorretta, se fanno parte di un’unica condotta, si applicherà un’unica sanzione stabilita in base alla soglia più alta applicabile. Sembra una conclusione ovvia, ma le autorità di protezione dei dati non l’hanno esplicitata nelle decisioni precedenti;
2. Identificazione della base per il calcolo della multa in base alla violazione, alla gravità e al fatturato dell’azienda 📌 Questa è la parte più rilevante delle linee guida perché fornisce criteri specifici per il calcolo preciso della violazione in base alle fasce di fatturato e alla gravità della violazione. Lo sforzo delle autorità di protezione dei dati per garantire la certezza del calcolo delle sanzioni previste dal GDPR è un buon segno. Tuttavia, l’EDPB ritiene che i garanti privacy possano anche discostarsi da questi criteri in circostanze specifiche…
3. Valutazione delle circostanze aggravanti e attenuanti relative al comportamento passato o presente dell’azienda 📌 Questa sezione rischia di vanificare l’intero scopo della fase 2, perché è molto generica e fornisce troppa flessibilità alle autorità di protezione dei dati nell’aggiustare i risultati della fase 2;
4. Identificazione dei massimali legali pertinenti per le diverse operazioni di trattamento 📌 Viene ripreso il concetto di impresa, che è più ampio della singola società e potrebbe rappresentare un rischio per i gruppi molto integrati (ad esempio, le società con un unico DPO di gruppo). È interessante che l’EDPB ritenga che l'”anno precedente”, ai fini del calcolo della sanzione, sia quello precedente alla decisione del garante privacy e non quello precedente alla violazione. Questa conclusione potrebbe avere un impatto sostanziale in Paesi come l’Italia, dove le multe vengono emesse diversi anni dopo la violazione, quando l’attività potrebbe essere in crescita, anche a causa dell’inflazione, e sembra ingiusto che tale crescita implichi una sanzione più elevata;
5. Analisi se l’importo finale della sanzione calcolata soddisfa i requisiti di efficacia, dissuasività e proporzionalità 📌 Non è inoltre chiaro il grado di flessibilità concesso all’autorità garante della privacy.

I criteri summenzionati sono sicuramente apprezzabili, poiché mirano ad aumentare la certezza del calcolo delle sanzioni previste dal GDPR. Tuttavia, i criteri sembrano essere il risultato di un processo di mediazione gestito dall’EDPB, che ha segnalato su ogni criterio che le autorità locali per la protezione dei dati mantengono il diritto di discostarsi dai criteri predefiniti sulla base delle peculiarità del caso. Si spera che le aziende ottengano una maggiore trasparenza nel calcolare il rischio di potenziali contestazioni e potenzialmente contestare le multe che non rispettano questi criteri.

I criteri precedenti per il calcolo della sanzione ai sensi del GDPR erano stati emanati dalle autorità tedesche per la protezione dei dati, ma erano stati raramente seguiti dalle autorità per la privacy.

Le linee guida dell’EDPB sul calcolo delle ammende del GDPR sono soggette a un processo di consultazione che si concluderà il 27 giugno 2022.

Su di un simile argomento, può essere utile l’articolo “Sanzione privacy contro una società di food delivery per algoritmi discriminatori verso i rider”.