Il 24.5.2023 il Comitato europeo per la protezione dei dati (EDPB) ha adottato le Linee Guida 4/2022 con l’obiettivo di fornire alle Autorità Garanti nazionali dei criteri uniformi per il calcolo delle sanzioni connesse alla violazione del GDPR.
Violazioni GDPR: il quadro sanzionatorio
Qualora venga accertata una violazione del GDPR, le Autorità degli Stati membri hanno il potere di scegliere la tipologia e l’entità della sanzione da applicare. Il Regolamento non contiene però un’indicazione precisa delle sanzioni riferibili ad ogni singola violazione, limitandosi a prevedere che queste siano effettive, proporzionate e dissuasive.
L’unico parametro stabilito in modo chiaro dal GDPR è il tetto massimo per le sanzioni pecuniare, che sono divise in 2 scaglioni:
- Primo scaglione: si applica alle violazioni ritenute meno gravi, come quelle relative alla notifica di un data breach o alla corretta tenuta dei registri dei trattamenti. In questi casi, l’importo della sanzione non può superare i 10 milioni di euro o, per le imprese, il 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
- Secondo scaglione: più alto, si applica a violazioni ritenute più gravi e vi rientrano, ad esempio, le violazioni dei principi di base del trattamento, compresi quelli relativi al consenso. Per queste violazioni è prevista una sanzione fino a 20 milioni di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Quindi l’ammontare e/o la tipologia di sanzione viene determinato di volta in volta, tenuto conto delle specificità del singolo caso concreto, dei tetti massimi e di altri parametri orientativi enunciati dal Regolamento.
Ad esempio, il Regolamento impone di valutare diversi elementi nella quantificazione della sanzione, come la categoria di dati personali interessati dalla violazione o il numero dei soggetti coinvolti. Si suggerisce altresì, “in caso di violazione minore o se la sanzione pecuniaria costituisse un onere sproporzionato per una persona fisica”, di rivolgere un ammonimento anziché imporre una sanzione pecuniaria.
Le Linee Guida 4/2022 per il calcolo delle sanzioni GDPR
Al fine agevolare un’applicazione armonizzata del GDPR su tutto il territorio dell’Unione, l’EDPB ha elaborato dei criteri ulteriori per il calcolo delle sanzioni pecuniarie. In particolare, una volta individuato lo scaglione di appartenenza della violazione, si suggerisce di valutare i parametri già forniti dal GDPR tenendo conto di altri elementi interpretativi. Ad esempio, se il GDPR già chiede di valutare il livello di danno subito dagli interessati, nelle Linee Guida si specifica che tale livello si riferisce al danno subito o che potrebbe essere stato subito, indipendentemente dal numero di soggetti coinvolti, e che tale danno include sia quello patrimoniale che quello non patrimoniale.
Ferma restando la discrezionalità dell’Autorità nel determinare l’importo finale della sanzione, l’EDPB suggerisce anche come determinare l’importo minimo della sanzione:
- Per le violazioni di bassa gravità, il valore di partenza dovrebbe essere compreso tra lo 0 e il 10% dell’importo massimo applicabile;
- Per le violazioni di media gravità, il valore di partenza dovrebbe essere compreso tra il 10% e il 20% dell’importo massimo applicabile;
- Per le violazioni di alta gravità, il valore di partenza dovrebbe essere compreso tra il 20% e il 100% dell’importo massimo applicabile.
Le risposta del Garante Privacy italiano nei casi Uber e del c.d. Cimitero dei feti
Le Linee Guida provano a rispondere alla condivisibile esigenza di eliminare le asimmetrie di approccio nell’azione delle Autorità nazionali. Infatti, se è vero che nell’UE coesistono diverse sensibilità e diversi sistemi giudiziari, è vero anche che le risposte delle Autorità sembrano a volte difficili da interpretare.
Rimanendo sul piano nazionale, si consideri che nel marzo 2022 l’Autorità Italiana ha inflitto a Uber la sanzione complessiva di € 4.240.000 per aver fornito agli utenti un’informativa “formulata in maniera generica e approssimativa, contenendo informazioni poco chiare e incomplete, di non facile comprensione per gli interessati nonché passibili di generare confusione sui diversi aspetti del trattamento” (ne abbiamo parlato in questo articolo).
Ammonta invece a complessivi euro € 415.000 la sanzione inflitta ad aprile 2023 nel caso del c.d. cimitero dei feti. Il caso risale al 2020, quando si è scoperta l’esistenza di un’area cimiteriale dedicata a centinaia di piccole sepolture relative a prodotti abortivi, contrassegnate da croci che riportavano le generalità della donna che aveva interrotto la gravidanza e la data dell’interruzione, il tutto all’insaputa delle donne coinvolte.
In questo caso, il Garante ha accertato l’illecita diffusione dei dati personali e la violazione del principio di minimizzazione, ma a venire in rilievo erano anche i diritti fondamentali di autodeterminazione della donna e di libertà religiosa.
Tuttavia il Garante, pur riconoscendo che le violazioni riscontrate sarebbero rientrate nello scaglione sanzionatorio più alto, ha ritenuto di quantificare in € 176mila e € 239mila le sanzioni inflitte, rispettivamente, a Roma Capitale e ad Ama (società incaricata della gestione dei servizi cimiteriali), mentre per la Asl Roma 1 – anch’essa responsabile dell’illecito trattamento – è stata ritenuta sufficiente la misura dell’ammonimento.
In conclusione, ferma restando la necessità di conservare un margine di discrezionalità nella quantificazione delle sanzioni, l’auspicio è che tale discrezionalità sia declinata in modo effettivamente proporzionato e che le nuove Linee Guida rappresentino uno strumento utile a guidare la risposta dell’Autorità, anche alla luce degli immanenti principi di uguaglianza e di certezza del diritto.
Ilaria Feriti