Oggi parliamo della seconda versione adottata in data 24 Maggio 2023 dall’European Data Protection Board (EDPB) delle Linee Guida sul calcolo delle multe in materia di GDPR.

Dovete infatti sapere che la somma della sanzione non è predefinita ma varia da caso a caso ed è a discrezionalità dell’Autorità Garante — sulla base di alcuni criteri.

L’EDPB ha prima di tutto stabilito che la metodologia per la calcolazione delle sanzioni si deve basare su questi 5 punti:

1. Valutare se il caso in questione è sanzionabile sulla base dell'articolo rilevante, il numero 83(3);
2. Identificare la somma di partenza per il calcolo dell’ammenda;
3. Analizzare i fattori aggravanti o attenuanti;
4. Identificare i massimali legali per le varie categorie di infrazioni;
5. Analizzare se la somma finale rispetta i requisiti di efficacia, dissuasività e proporzionalità.

I principali elementi che vengono presi in considerazione sono:

• la natura dell’infrazione,
• la sua gravità (quanti soggetti sono stati colpiti, il livello del danno causato e in quale misura questo ha avuto effetti sui diritti e sulle libertà individuali, in che contesto la violazione è avvenuta, etc…),
• quanto questa si è prolungata.

Ricordiamo a tal proposito che, come enunciato dalle Linee Guida WP253, i Data Controller e Data Processor — le aziende che possiedono database con dati sui residenti europei e le aziende che li gestiscono per loro — sono obbligati ad attuare misure tecniche ed organizzative per assicurare un livello di sicurezza appropriato al rischio e che bisogna fare tutto il possibile per ridurre le conseguenze negative sulle persone coinvolte.

In caso di problemi la collaborazione è fondamentale in quanto la prontezza nell’azione può essere considerata dall’Autorità come un attenuante della sanzione finale.

In base quindi agli elementi citati sopra l’Autorità stabilisce tre livelli di infrazioni:

• infrazioni di gravità bassa: in questo caso la somma iniziale potrà essere identificata tra il 0% e il 10% del massimale legale applicabile;
• infrazioni di gravità media: in questo caso la somma iniziale potrà essere identificata tra il 10% e il 20% del massimale legale applicabile;
• infrazioni di gravità alta: in questo caso la somma iniziale potrà essere identificata tra il 20% e il 100% del massimale legale applicabile.

Detto ciò, l’EDPB considera anche la grandezza e il potere economico di un’impresa per il calcolo della sanzione.

L’Autorità può quindi modificare la base iniziale della sanzione se:

• un’impresa ha un fatturato annuo sotto i 2 milioni di euro: in questo caso la somma potrà essere identificata tra il 0.2% e il 0.4% della somma precedentemente calcolata;
• un’impresa ha un fatturato annuo che va da 2 fino a 10 milioni di euro: in questo caso la somma potrà essere identificata tra il 0.3% e il 2% della somma;
• un’impresa ha un fatturato annuo che va da 10 fino a 50 milioni di euro: in questo caso la somma potrà essere identificata tra il 1.5% e il 10%;
• un’impresa ha un fatturato annuo che va da 50 fino a 100 milioni di euro: in questo caso la somma potrà essere identificata tra l’8% e il 20%;
• un’impresa ha un fatturato annuo che va da 100 fino a 250 milioni di euro: in questo caso la somma potrà essere identificata tra il 15% e il 50%;
• un’impresa ha un fatturato annuo che va oltre i 500 milioni di euro: in questo caso la somma supererà i massimali.

Esempio:

Una catena di supermercati con un fatturato di 450 milioni di euro infrange l’art. 12 del GDPR e l’Autorità stabilisce che l’infrazione è di livello basso. La sanzione stabilita per l’infrazione dell’art. 12 è prevista nell’art. 83(5)(b) del GDPR e, in base al fatturato annuo della catena, sancisce il massimale a 20 milioni di euro.

Dal momento che la “seriousness”, ovvero gravità, è stata definita come bassa l’Autorità determina che la somma di partenza della sanzione sarà tra 0 e 2 milioni di euro (ovvero tra lo 0 e il 10% del massimale legale applicabile).

L’Autorità arriva alla conclusione che la diminuzione del 90% della somma iniziale sia giustificata sulla base della grandezza dell’impresa. Questo sarà quindi il punto di partenza per procedere al calcolo della sanzione, che, in ogni caso, non potrà superare il massimale legale di 20 milioni.

Speriamo che questo articolo vi sia stato utile!

Fonte: Guidelines 04/2022 on the calculation of administrative fines under the GDPR.  Version 2.0. Adopted on 24 May 2023.