Calcolo delle sanzioni: linee guida EDPB

Mag 17, 2022 | Data Protection

L’EDPB ha adottato le le Linee Guida 4/2022 per il calcolo delle sanzioni ai sensi del Gdpr.

 

In pubblica consultazione fino al 27 giugno.

 

Il Board europeo dei Garanti della protezione dei dati personali ha pubblicato le linee guida per l’applicazione delle sanzioni ai sensi del Gdpr.

Il documento indica una procedura in 5 passaggi, precisando che, in ogni caso, il calcolo della sanzione rimane a discrezione della singola Autorità di controllo (Garante).

Per applicare le sanzioni che, come previsto dal Regolamento, dovranno essere effettive, proporzionate e dissuasive e non potranno eccedere i “classici” importi edittali previsti dall’art. 83 del Gdpr, le autorità dovranno, come per la verità già fanno attualmente, tenere conto di una serie di circostanze, da valutarsi caso per caso.

 

 

Prima di poter calcolare la sanzione, il board ricorda come sia necessario tenere innanzitutto conto delle specifiche circostanze di fatto e delle concrete fattispecie giuridiche applicabili, anche perché una medesima condotta potrebbe dare luogo a più infrazioni.

In particolare, dovrà essere esaminato se la fattispecie concreta possa determinare:

  • una sola condotta sanzionabile oppure
  • una pluralità di violazioni;
  • in tale ultima ipotesi, inoltre, dovrà valutarsi se la condotta che abbia dato luogo a più violazioni comporti l’applicazione di più sanzioni.

Qui di seguito lo schema proposto dall’EDPB.

 

 

 

Qui, in sintesi, i 5 passaggi, per i quali si rimanda al documento ufficiale: EDPB_Guidelines_04_2022_OnCalculationOfFines.

 

I 5 passaggi

  1. Identificare le operazioni di trattamento al fine di valutare se esistano una o più condotte sanzionabili, verificando se la condotta sia unica (capitolo 3).
  2. Identificare la base di calcolo della sanzione con riferimento alla violazione, alla sua gravità e al fatturato dell’ente. Nel documento si indicano criteri specifici di calcolo in base al fatturato e alla gravità rilevata (capitolo 4).
  3. Identificazione e valutazione di eventuali circostanze attenuanti o aggravanti, con riferimento alle condotte passate dell’ente. Sembrano indicati fattori che consentono una decisa elasticità alle Autorità (capitolo 5).
  4. Identificazione del massimale editale, tenendo conto del concetto di impresa, più ampio di quello della singola società, che potrebbe portare ad aumenti notevoli degli importi. Si tenga presente che l’anno da tenere come riferimento per il calcolo del fatturato è quello precedente all’emissione della sanzione da parte del singolo Garante, ciò che potrebbe comportare, rispetto al momento della violazione, in caso di aumenti di fatturato, conseguenti aumenti di sanzione (rispetto alle date di commissione degli illeciti; capitolo 6).
  5. Calcolo finale della sanzione al fine di renderla efficace, dissuasiva, proporzionale (capitolo 7).

 

In tutte le fasi  deve essere tenuto presente che il calcolo non è un mero esercizio matematico, ma che le circostanze del caso concreto determineranno la misura finale dell’importo determinato dall’Autorità.