Le sanzioni amministrative pecuniarie previste dal GDPR
Una delle ragioni alla base dell’interesse di massa sviluppatosi intorno al Reg. UE 2016/679[1] (di seguito GDPR) è sicuramente rinvenibile nello stringente sistema sanzionatorio che tale fonte normativa europea, nel suo art. 83, ha introdotto.
Il GDPR prevede infatti due tipologie di sanzioni amministrative pecuniarie particolarmente stringenti:
A. fino a 10.000.000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore;
B. fino a 20.000.000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Al diverso ammontare della potenziale sanzione pecuniaria si accompagnano violazioni di differenti norme:
- nel caso delle sanzioni appartenenti alla tipologia A, le norme violate si riferiscono a: obblighi del titolare del trattamento e del responsabile del trattamento (artt. 8, 11, da 25 a 39, 42 e 43), obblighi dell’organismo di certificazione (art. 42 e 43) nonché agli obblighi dell’organismo di controllo (art. 41 par.4);
- nel caso delle sanzioni appartenenti alla tipologia B, invece, le norme violate riguardano: principi di base del trattamento (art. 5, 6, 7 e 9), diritti degli interessati (artt. da 12 a 22), trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale (artt. da 44 a 49), obblighi previsti dalle legislazioni degli Stati membri adottate a norma del capo IX, l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo o il negato accesso in violazione (art. 58).
L’elevato ammontare delle sanzioni pecuniarie previste dal Regolamento europeo ha costituito – e costituisce tuttora – cagione di evidente preoccupazione per i Titolari e i Responsabili del trattamento, intimoriti dalle possibili ripercussioni che sanzioni siffatte, unitamente ai probabili danni reputazionali collegati, potrebbero avere sulle proprie aziende o sul proprio business.
In realtà, è lo stesso GDPR a porre un argine alla discrezionalità delle Autorità garanti per i dati personali nel determinare l’ammontare della sanzione pecuniaria da comminare.
L’art. 83, paragrafo 2, prevede infatti una serie di criteri in base ai quali l’eventuale sanzione dovrà essere parametrata:
a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
b) il carattere doloso o colposo della violazione;
c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati
d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
f) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
g) le categorie di dati personali interessate dalla violazione;
h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
i) qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
j) l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42; e
k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.
Nonostante tali criteri possano, in un certo senso, guidare l’interprete, amplissimi spazi di incertezza permangono in merito all’effettiva portata della sanzione economica cui il Titolare o il Responsabile andrebbero incontro in caso di inadempimento dei precetti normativi del GDPR. Tale indeterminatezza riverbera i propri effetti anche sui professionisti chiamati a coadiuvare le aziende nel processo di adeguamento alla normativa europea, i quali sono costretti a sforzi di astrazione per tentare di quantificare ai propri assistiti, nel modo migliore possibile, il plausibile costo di un disallineamento della condotta aziendale rispetto a quanto imposto o suggerito dal GDPR.
Il tutto va a pesare altresì sul già rilevante bilancio di incertezza dovuto all’adeguamento a una normativa di recente introduzione, basata sul criterio – di matrice anglosassone – dell’accountability, ossia della responsabilizzazione del titolare del trattamento, in forza del quale quest’ultimo sarà tenuto, proattivamente, a dimostrare di aver attuato misure adeguate per garantire che il trattamento dei dati personali effettuato sia conforme allo stesso Regolamento.
La “Fining policy” dell’Autorità olandese per la protezione dei dati personali
Nel quadro così tratteggiato, il primo e (sinora) unico tentativo di portare maggiore trasparenza del processo di determinazione della sanzione pecuniaria è stato effettuato dall’Autorità garante per la protezione dei dati personali olandese.
L’Autoriteit Persoonsgegevens[2] ha infatti recentemente pubblicato una vera e propria “Fining policy” relativa al processo di determinazione delle sanzioni dovute alla violazione degli obblighi imposti dal GDPR.
La policy olandese introduce un sistema basato su quattro categorie di sanzioni pecuniarie ricollegate alla violazione di norme specifiche del GDPR (indicate analiticamente negli allegati 1 e 2 delle “Norme sulle norme dell’Autorità per i dati personali del 19 febbraio 2019 per quanto riguarda la determinazione del livello delle ammende amministrative”[3]).
Le categorie in esame possono essere in tal modo schematizzate:
| Categoria | Sanzione minima | Sanzione massima | Sanzione base |
| I | € 0 | € 200.000,00 | € 100.000,00 |
| II | € 120.000,00 | € 500.000,00 | € 310.000,00 |
| III | € 300.000,00 | € 750.000,00 | € 525.000,00 |
| IV | € 450.000,00 | € 1.000.000,00 | € 725.000,00 |
In base alla policy dell’Autoriteit Persoonsgegevens, la Categoria I includerà violazioni minori, ad esempio l’inosservanza del diritto di rettifica o cancellazione o la mancata pubblicazione dei dati di contatto del DPO. Le categorie II e III copriranno la maggior parte delle possibili violazioni del GDPR, quali l’inosservanza dei principi relativi al trattamento di dati personali (violazione dell’articolo 5) o dell’obbligo relativo alla liceità del trattamento (violazione dell’articolo 6). Naturalmente la Categoria IV si presterà a violazioni più gravi, come violazioni che implicano l’elaborazione di categorie di dati personali particolari, decisioni automatizzate o profilazione e qualsiasi trattamento illecito di dati giudiziari (per un’analisi più approfondita sulle singole violazioni rientranti nelle quattro categorie sopracitate si rimanda alle tabelle di dettaglio in calce all’articolo).
L’ammontare effettivo della sanzione sarà poi determinato a partire dalla sanzione base e aumentando o diminuendo tale importo sulla base dei molteplici criteri disciplinati nell’art. 7 della “Fining policy”, quali: a) la natura, la gravità e la durata dell’infrazione, tenendo conto della natura, o della finalità del trattamento in questione, nonché del numero di persone interessate e dell’entità del danno da esse subito; b) della natura dolosa o colposa della violazione; c) le misure che il titolare del trattamento o responsabile del trattamento hanno adottato per limitare il danno subito dagli interessati; d) il grado di responsabilità del titolare o del responsabile del trattamento sulla base delle misure tecniche e organizzative attuate conformemente agli articoli 25 e 32 del Regolamento generale sulla protezione dei dati; e) precedenti violazioni rilevanti; f) il grado di cooperazione con l’autorità di controllo per sanare l’infrazione e limitare le possibili conseguenze negative; g) le categorie di dati personali interessati dall’infrazione; h) il modo in cui l’autorità di vigilanza è venuta a conoscenza dell’infrazione, etc.
Meritevoli di specifico approfondimento sono altresì alcune norme di chiusura, dalle quali traspare la meritoria opera di adeguamento dell’Autorità olandese a quanto sancito dal paragrafo 9 dell’art. 83 GDPR, ai sensi del quale “le sanzioni pecuniarie irrogate sono effettive, proporzionate e dissuasive”:
- nell’art. 8 è disciplinata la possibilità di irrogare sanzioni amministrative superiori ai massimali di cui alle quattro categorie prima citate (sempre nel rispetto dei limiti previsti dal GDPR), nel caso in cui l’ammontare della sanzione non sia tale da costituire un’adeguata reazione alla violazione perpetrata dal Titolare o dal Responsabile del trattamento;
- l’art. 9 prevede esplicitamente che la situazione economica del soggetto sanzionato venga presa in considerazione come elemento di parametrizzazione della sanzione; ciò comporta che l’Autorità olandese ben potrebbe decidere di comminare una sanzione “più lieve” nel caso in cui l’applicazione tassativa della “Fining policy” risultasse essere eccessivamente punitiva per il Titolare o Responsabile del trattamento.
Considerazioni finali
Anche nella consapevolezza dell’ambito di applicazione della policy (limitato naturalmente all’attività dell’Autorità garante olandese) e dei pur ampi margini di discrezionalità che la caratterizzano[4], non si può ignorare la portata innovativa del provvedimento dell’Autorità garante olandese.
Nonostante infatti la normativa europea non imponga agli Stati membri di dotarsi di una politica di dettaglio in relazione all’applicazione dell’art. 83, la policy olandese potrebbe fungere da apripista per l’emissione di simili provvedimenti anche da parte delle altre Autorità garanti europee che volessero emulare i colleghi dell’Autoriteit Persoonsgegevens nell’emissione di provvedimenti atti a chiarire e precisare la portata applicativa dell’art. 83 GDPR.
La categorizzazione delle violazioni e delle relative sanzioni potrebbe altresì rappresentare uno strumento in più a disposizione di Titolari e Responsabili del trattamento per poter valutare, con un maggiore grado di precisione, le conseguenze patrimoniali di una violazione o di un mancato adeguamento alle norme previste dal GDPR.
Tabella di dettaglio relativa agli allegati 1 e 2 della “Fining policy” olandese
| Articolo GDPR | Rubrica della norma | Categoria |
|
Allegato 1 |
||
| 8 | Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione | II |
| 11 | Trattamento che non richiede l’identificazione | I |
| 25 | Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita | II |
| 26 | Contitolari del trattamento | I |
| 27 (fatto salvo il III par.) | Rappresentanti di titolari del trattamento o dei responsabili del trattamento non stabiliti nell’Unione | III |
| 27 (III par.) | Rappresentanti di titolari del trattamento o dei responsabili del trattamento non stabiliti nell’Unione | II |
| 28 (fatto salvo il IX par.) | Responsabile del trattamento | II |
| 28 (IX par.) | Responsabile del trattamento | I |
| 29 | Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento | I: se il sanzionato è una persona fisica; II: se il sanzionato è una persona giuridica; |
| 30 (fatto salvo il III par.) | Registri delle attività di trattamento | II |
| 30 (III par.) | Registri delle attività di trattamento | I |
| 31 | Cooperazione con l’autorità di controllo | III |
| 32 | Sicurezza del trattamento | II |
| 33 (fatto salvo il III par.) | Notifica di una violazione dei dati personali all’autorità di controllo | III |
| 33 (III par.) | Notifica di una violazione dei dati personali all’autorità di controllo | II |
| 34 (fatto salvo il II par.) | Comunicazione di una violazione dei dati personali all’interessato | III |
| 34 (II par.) | Comunicazione di una violazione dei dati personali all’interessato | II |
| 35 (fatto salvo il IX par.) | Valutazione d’impatto sulla protezione dei dati | II |
| 35 (IX par.) | Valutazione d’impatto sulla protezione dei dati | I |
| 36 | Consultazione preventiva | II |
| 37 (fatto salvo il VII par.) | Designazione del responsabile della protezione dei dati | II |
| 37 (VII par.) | Designazione del responsabile della protezione dei dati | I |
| 38 (fatti salvi il II e il VI par.) | Posizione del responsabile della protezione dei dati | II |
| 38 (II e VI par.) | Posizione del responsabile della protezione dei dati | I |
| 39 | Compiti del responsabile della protezione dei dati | II |
| 41 (IV par.) | Controllo dei codici di condotta approvati | I |
| 42 (fatti salvi il III e il VI par.) | Certificazione | II |
| 42 (III par.) | Certificazione | I |
| 42 (III par.) | Certificazione | III |
| 43 (VI par.) | Organismi di certificazione | I |
|
Allegato 2 |
||
| 5, I par. esclusa la lettera a) | Principi applicabili al trattamento di dati personali | III |
| 5, I par. lettera a) e II par. | Principi applicabili al trattamento di dati personali | I,II,III,IV a seconda della violazione accertata |
| 6 | Liceità del trattamento | III |
| 7 | Condizioni per il consenso | III |
| 9 | Trattamento di categorie particolari di dati personali | IV |
| 12 (fatti salvi il III, IV e V par.) | Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato | III |
| 12 (III, IV e V par.) | Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato | II |
| 13 | Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato | III |
| 14 | Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato | III |
| 15 | Diritto di accesso dell’interessato | III |
| 16 | Diritto di rettifica | III |
| 17 | Diritto alla cancellazione («diritto all’oblio») | III |
| 18 (fatto salvo il III par.) | Diritto di limitazione di trattamento | III |
| 18 (III par.) | Diritto di limitazione di trattamento | II |
| 19 | Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento | II |
| 20 | Diritto alla portabilità dei dati | III |
| 21 (fatto salvo il IV par.) | Diritto di opposizione | III |
| 21 (IV par.) | Diritto di opposizione | II |
| 22 | Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione | IV |
| 44 | Principio generale per il trasferimento | III |
| 45 | Trasferimento sulla base di una decisione di adeguatezza | III |
| 46 | Trasferimento soggetto a garanzie adeguate | III |
| 47 | Norme vincolanti d’impresa | III |
| 48 | Trasferimento o comunicazione non autorizzati dal diritto dell’Unione | III |
| 49 | Deroghe in specifiche situazioni | III |
| Tutti gli obblighi previsti dagli stati membri ai sensi del Capo IX GDPR | Disposizioni relative a specifiche situazioni di trattamento | I,II,III,IV a seconda della violazione accertata |
| 58 | Poteri | IV |
Note
[1] https://www.garanteprivacy.it/regolamentoue. [2] https://autoriteitpersoonsgegevens.nl/. [3] https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/stcrt-2019-14586.pdf. [4] Aspetto evidenziato anche da importanti esponenti del panorama forense olandese: https://globaldatareview.com/article/1188985/dutch-watchdog-releases-gdpr-fining-policy.
Articolo a cura di Mauro Formato
L’articolo Le sanzioni amministrative pecuniarie nel GDPR: l’art. 83 alla luce della “Fining policy” dell’Autorità olandese per la protezione dei dati personali proviene da ICT Security Magazine.