REGOLAMENTO UE

Sanzioni GDPR: criteri e metodologia di calcolo per violazioni alla normativa privacy

Non c’è ancora, tra le Autorità per la protezione dei dati personali europee, un orientamento definito per l’applicazione delle sanzioni GDPR. Proviamo dunque ad analizzare le interessanti metodologie adottate da alcuni Stati membri per districarsi tra i parametri di valutazione elencati dal Regolamento UE

06 Feb 2020
O
Isabella Oldani

Data Protection Lawyer - LT42

V
Giuseppe Vaciago

Partner R&P Legal e fondatore di Tech&Law Center


Il 2020 sarà un anno decisivo in materia di protezione dei dati personali sotto il profilo sanzionatorio: le statistiche, infatti, ci dicono che, dopo il 25 maggio 2018, le Autorità per la protezione dei dati personali europee non hanno ancora un orientamento definito per quanto riguarda l’applicazione degli articoli 83 e 84 relativi alle sanzioni GDPR.

Basti pensare che l’Autorità (ICO) che ha inflitto le sanzioni più alte (British Airways e Marriott International) è quella di uno Stato membro che ha da pochi giorni abbandonato l’Unione Europea. Anche l’Italia ha recentemente sanzionato severamente ENI Gas e Luce per 11 milioni e 500 mila euro e TIM per 27 milioni e 800 mila euro.

Casi di questo tipo però non aiutano a valutare i criteri e la metodologia di calcolo per violazioni meno eclatanti e che riguardano titolari del trattamento con un fatturato decisamente inferiore ai colossi citati prima.

Sanzioni GDPR: elementi per la corretta valutazione

L’art. 83 del GDPR include un elenco degli elementi che le Autorità di controllo devono prendere in considerazione per valutare sia l’opportunità di infliggere una sanzione che l’ammontare della stessa:

  1. natura, gravità e durata della violazione;
  2. carattere doloso o colposo della violazione;
  3. misure adottate per attenuare il danno subito dagli interessati;
  4. grado di responsabilità del titolare o responsabile del trattamento;
  5. eventuali precedenti violazioni;
  6. grado di cooperazione con l’Autorità di controllo;
  7. categorie di dati personali interessate dalla violazione;
  8. modalità in cui l’Autorità di controllo ha preso conoscenza della violazione;
  9. rispetto di precedenti provvedimenti ai sensi dell’art. 58 dell’Autorità di controllo;
  10. adesione ai codici di condotta o meccanismi di certificazione;
  11. eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso tra cui, ad esempio, l’eventuale beneficio finanziario conseguito o le perdite evitate quale conseguenza della violazione.

Ad esempio, con riferimento a quest’ultimo criterio (art. 83 comma II, lett. k) GDPR), nell’infliggere a TIM la sanzione di 27 milioni e 800 mila euro, il Garante privacy italiano ha preso in considerazione i vantaggi economici, sia attuali che potenziali, derivanti dalle attività di teleselling e di telemarketing indesiderato e dal programma online “TIM Party”[1].

In particolare, il vantaggio economico conseguito da TIM è stato individuato dal Garante nel risparmio di risorse in termini di utilità negate ai clienti che non si erano iscritti al programma per non dovere sottostare all’obbligo di ricevere offerte commerciali. Nello stesso provvedimento, il Garante ha invece valorizzato come attenuante il fatto che TIM ha comunicato di avere fatto fronte ad alcune criticità legate alla gestione di telefonate promozionali risolvendo il contratto con due partner e applicando penali contrattuali ad un altro partner.

Nel complesso, è evidente come i criteri elencati all’articolo 83 GDPR lascino un ampio margine di discrezionalità alle Autorità di controllo nel determinare sia l’an che il quantum della sanzione. Il margine di discrezionalità, e quindi di incertezza, è inoltre amplificato dal fatto che il Regolamento prevede solo due fasce di massimo edittale (10.000.000 €, o per le imprese, il 2 % del fatturato mondiale totale annuo dell’esercizio precedente se superiore per le violazioni di cui all’art.83 comma IV; 20.000.000 €, o per le imprese, il 4 % del fatturato mondiale totale annuo dell’esercizio precedente per le violazioni di cui all’art.83 comma V) senza dare al contempo indicazioni sui minimi edittali.

Sanzioni GDPR: metodologie adottate dagli Stati membri

A livello europeo, alcuni Stati membri hanno proposto delle interessanti metodologie per districarsi tra gli 11 parametri elencati all’art.83 del GDPR. Analizziamole nel dettaglio.

La metodologia tedesca

WEBINAR
Sicurezza: strategie e step tecnologici per infrastrutture IT complesse
Big Data
Intelligenza Artificiale

La prima e più rilevante è sicuramente offerta dalle linee guida adottate dalla conferenza delle Autorità di protezione dei dati tedesche che ha proposto un metodo per calcolare la sanzione da applicare fondato su cinque passaggi.

  • Fase 1 – Identificazione della società sulla base del fatturato globale nell’anno precedente su 4 categorie:
  1. impresa molto piccola
  2. piccola impresa
  3. media impresa
  4. grande impresa
  • Fase 2 – Individuazione del fatturato medio annuo “presunto” all’interno della categoria cui appartiene la società (per le imprese con un fatturato annuo superiore a 500 milioni di euro si considera il fatturato effettivo). Viene proposto l’esempio di una società con fatturato medio annuo in 360 milioni di euro e che rientra nel concetto di grande impresa.
  • Fase 3 – Determinazione del valore economico di base. Le linee guida propongono di dividere il fatturato medio annuo per 360 (giorni).
  • Fase 4 – Valutazione della gravità della violazione. Il valore economico di base è moltiplicato per un fattore che varia a seconda della gravità della violazione e che ha un valore da 1 a 12. In questa fase si entra nel merito della violazione distinguendo la stessa in due sottocategorie:
  1. Violazione formale (art.82(4) GDPR) / Violazione materiale (art. 82(5) GDPR).
  2. Gravità della violazione sulla base dell’art. 83, II comma, del GDPR: leggero/medio/medio- severo/molto grave.
  • Fase 5 -Rettifica del valore. Sulla base degli elementi di cui all’articolo 83, II comma, del GDPR e di altri elementi (es. la durata della procedura, l’imminente insolvenza della società), la sanzione potrà essere ulteriormente ridotta o aumentata. Tra questi fattori si può citare il grado di colpa (da -25% a +50%) o le misure di attenuazione adottate dal titolare o dal responsabile (da – 25% a +25%).

La metodologia olandese

In Olanda, l’Autorità per la protezione dei dati ha emesso delle linee guida il 14 marzo 2019 raggruppando le infrazioni nelle seguenti quattro categorie:

  1. Categoria – Violazioni minime. In questa categoria rientrano le semplici violazioni come la mancanza di informazioni sul Data Protection Officer o imprecisioni minori nell’informativa sulla privacy o un’errata attribuzione delle responsabilità del titolare del trattamento: in questo caso la sanzione varia da 0 a 200.000 euro. La sanzione media dovrebbe essere di 100.000 euro.
  2. Categoria – Violazioni medie. In questa categoria rientra, l’inadempimento di alcuni requisiti sostanziali, come la mancanza di accordi con i responsabili del trattamento ai sensi dell’art. 28 del GDPR, il mancato rispetto dei requisiti di sicurezza dei dati personali ai sensi dell’art. 32 GDPR o il mancato adempimento di valutazioni d’impatto o la presenza di un conflitto d’interesse nella scelta del DPO. In questo caso la sanzione varia da 120.000 a 500.000 euro. La sanzione media dovrebbe essere di 310.000 euro.
  3. Categoria – Violazioni medio-alte. In questa categoria rientrano, la mancata notifica di data breach o la mancata collaborazione con le Autorità per la Protezione dei Dati Personali e la violazione dell’obbligo di trasparenza. In questo caso la sanzione varia da 300.000 a 750.000 euro. La sanzione media dovrebbe essere di 525.000 euro.
  4. Categoria – Violazioni elevate. In questa categoria rientrano le gravi violazioni quali il trattamento illecito di particolari categorie di dati, la profilazione illecita e il mancato rispetto di specifici provvedimenti dell’Autorità per la Protezione dei Dati Personali. In questo caso la sanzione varia da 450.000 a 1.000.000 euro. La sanzione media dovrebbe essere di 725.000 euro.

La sanzione media sarà poi aumentata e diminuita sulla base di alcuni fattori che derivano direttamente dall’articolo 83, paragrafo 2, GDPR.

Nei casi in cui l’ammenda massima nella categoria IV sia ritenuta “non appropriata”, l’Autorità per la Protezione dei Dati potrà infliggere una sanzione superiore a 1 milione di euro e fino al massimo consentito dall’articolo 83 del GDPR.

Considerazioni finali

Non ritengo che sia opportuno entrare nel merito di metodologie che sono figlie di diverse culture giuridiche ed esperienze applicative. Tuttavia, in conclusione, due considerazioni sono doverose.

La prima è che sarebbe davvero necessario dotarsi di una metodologia unica a livello europeo onde evitare sperequazioni sanzionatorie che non sarebbero minimamente coerenti con lo spirito con cui è nato il GDPR.

Come chiarito dal considerando 11 del GDPR, un’efficace protezione dei dati personali nell’Unione Europea presuppone, oltre che il rafforzamento e la disciplina dettagliata dei diritti degli interessati e degli obblighi dei titolari e responsabili, anche “poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali e sanzioni equivalenti per le violazioni negli Stati membri”.

L’applicazione di sanzioni equivalenti è inoltre presupposto fondamentale per evitare l’insorgere di disparità nell’applicazione del Regolamento che potrebbero ostacolare la libera circolazione dei dati personali nel mercato interno (considerando 13 GDPR).

Il concetto di “equivalenza”, e quindi l’applicazione di misure analoghe in casi analoghi, dovrebbe pertanto guidare l’attuazione del Regolamento da parte delle Autorità di controllo al fine di “assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione” (considerando 10 GDPR).

La seconda considerazione è che, nelle more di un orientamento a livello europeo che deve necessariamente avere un carattere generale, è auspicabile che l’Autorità italiana fornisca delle indicazioni operative tenendo in considerazione il frammentato tessuto imprenditoriale del nostro Paese connotato da un considerevole numero di PMI che difficilmente superano i 15 dipendenti.

Questo sembra coerente con quanto disposto dal GDPR che, al considerando 13, invita a tener conto delle specifiche situazioni delle micro, piccole e medie imprese.

A tal riguardo, occorre ricordare che il considerando 148 del GDPR introduce la possibilità di applicare un ammonimento al posto di una sanzione pecuniaria nei casi in cui la sanzione pecuniaria costituisse un onere sproporzionato per il soggetto responsabile della violazione (oltre che per violazioni minori).

Questa “alternatività” tra sanzione pecuniaria e ammonimento è però concepita solo nei casi in cui il responsabile della violazione sia una persona fisica. Potrebbe pertanto essere opportuno valutare se estendere l’ambito di applicazione del considerando 148 così da includere anche le piccole imprese.

NOTE

  1. L’adesione al programma TIM Party permette ai clienti di accedere a vantaggi e sconti e di partecipare a concorsi a premi. L’Autorità Garante ha però sanzionato il fatto che l’adesione del cliente al servizio era subordinata all’acquisizione del consenso al trattamento dei dati personali per finalità di marketing senza distinguere le varie finalità contrattuali dalle finalità promozionali.
WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articolo 1 di 2