Calcolo delle sanzioni per le violazioni del GDPR: disamina delle Linee Guida EDPB 4/2022
Alea iacta est: il 24 maggio 2023 il Comitato europeo per la protezione dei dati (EDPB) ha definitivamente adottato le Linee Guida 4/2022 (LG4) la cui finalità consiste nel fornire una base chiara e trasparente per la fissazione delle sanzioni connesse alle violazioni del GDPR.
Sull’articolazione del documento, messo in consultazione lo scorso anno, la descrizione degli snodi essenziali era già stata prontamente portata a conoscenza da Federprivacy. In questa sede ci si sofferma per illustrare tre tematiche di interesse per gli operatori, conseguenti al nuovo assetto dispositivo e rilevanti sia per il perseguimento di una effettiva armonizzazione nello SEE che per orientare l’attività di tutti gli attori coinvolti; infine si propongono alcuni auspicabili aspetti evolutivi.
1. In primo luogo va evidenziato che queste Linee guida, come sottolinea l’EDPB, riguardano il calcolo delle sanzioni amministrative e vanno considerate come complementari alle Linee Guida WP253 (LG253) che si soffermano sulle circostanze per la quali la sanzione amministrative possa essere uno strumento di rigore più appropriato rispetto alle altre misure di rigore a disposizione della Autorità Garanti.
Le LG253, nel propugnare il criterio dell’equivalenza della sanzioni nei diversi Paesi, si soffermano sulla disamina di due articoli del GDPR:
- l’art. 58 “Poteri” delle Autorità Garanti, consistenti in poteri di i) indagine, ii) correttivi e iii) autorizzativi e consultivi. Le sanzioni pecuniarie, come noto, sono solo una delle possibili misure di intervento (fra la altre la più rilevante è identificabile nella imposizione di “una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento”);
- l’art. 83 “Condizioni generali per infliggere sanzioni amministrative pecuniarie”, che devono essere “effettive, proporzionate e dissuasive”. Il Gruppo dei 29 fornisce dei criteri di lettura per i diversi elementi che l’art. 83 prevede ai fini della decisione di infliggere una sanzione amministrativa pecuniaria (che, ricordiamo, può essere aggiuntiva o alternativa ad altre misure correttive). Ad esempio, le LG253 trattano la eventualità che, nel caso di adesione a un codice di condotta, a seconda delle circostanze potrebbe essere ritenuta riparativa dell’infrazione l’intervento del gestore del codice nei confronti dell’aderente.
Le LG253 sono incentrate quindi sul primo passaggio che l’Autorità garante dovrebbe effettuare per perseguire una violazione del GDPR: quale misura adottare.
Il secondo passaggio è quello trattato ora dalle LG4: laddove si propenda per la sanzione pecuniaria, quali criteri andrebbero seguiti per il calcolo dell’importo della stessa, con la precisazione che le indicazioni fornite, secondo la giurisprudenza consolidata, non possono essere tali da poter consentire gli operatori di poter calcolare matematicamente l’importo preciso della violazione (e, quindi, fare fare un arbitraggio fra sanzione e vantaggio perseguibile dalla violazione). Più avanti ci si sofferma su questi criteri.
2. Un secondo aspetto attiene alla possibilità di applicare alle autorità e agli organismi del settore pubblico anche le sanzioni pecuniarie amministrative oltre alle altre misure correttive. Il GDPR rimanda agli ordinamenti nazionali tale decisione (art. 83.7) e, in Italia, il Codice privacy prevede tale eventualità, escludendola solo per i trattamenti svolti in ambito giudiziario (artt. 166 punti 4 e 10).
Le LG253 si limitano a ribadire che i singoli Stati possono decidere l’applicabilità delle sanzioni in esame anche ai soggetti del settore pubblico. Le LG valgono per definire le sanzioni applicabili anche a soggetti pubblici, precisando però che al settore pubblico non sono applicabili in generale i criteri connessi a: i) adeguamento rispetto a classi di fatturato (capitolo 4.3, fatta salva la eventualità che le Autorità di vigilanza non adottino una analoga metodologia); ii) definizione dei massimali legali per le sanzioni (per le imprese funzione anche del fatturato e quindi potendo essere superiori ai massimali di 10 e 20 mln di euro previsti dall’art. 83 GDPR), salvo che il soggetto pubblico non operi in maniera assimilabile a una impresa.
3. Il terzo aspetto, in concreto quello più rilevante a livello di sistema, è costituito dal fatto che l’insieme delle due Linee Guida costituisce:
a - una spinta alla tendenziale armonizzazione dei criteri applicativi, per le Autorità Garanti, delle diverse misure di rigore da applicare nei casi di violazione delle norme sulla privacy (ovviando così, almeno a tendere, alla concorrenza fra ordinamenti più o meno rigorosi sotto il profilo sanzionatorio),
b - la possibilità – da esplorare certo in relazione all’evoluzione della “giurisprudenza” costituita dai provvedimenti delle Autorità garanti - di poter ipotizzare, seppure non con precisione matematica, in termini economici l’impatto riveniente da eventuali accadimenti patologici nella gestione dei trattamenti.
Tale secondo aspetto rileva in particolare per le funzioni organizzative che si occupano di gestione dei rischi atteso che la gradazione degli impatti di rischio sulle persone definiti nelle elaborazioni delle Valutazioni di impatto sulla protezione dei dati (DPIA) potrebbe più razionalmente essere tradotta in termini di impatto economico sul titolare del trattamento. Con ciò agevolando anche il confronto con altre valutazioni di rischio nelle organizzazioni – a partire dall’analisi del rischio operativo – agevolando quindi il perseguimento di una consapevole e armonica gestione dei rischi, tramite il metro monetario.
Passando alla metodologia definita dall’EDPB, questa si articolata in 5 passaggi che le Autorità Garanti dovrebbero seguire:
1. valutare se la fattispecie da valutare rappresenti una o più condotte sanzionabili e se ciascuna condotta dia luogo a una o più violazioni. Da tale disamina dovrà emergere se sia irrogabile una sola o più sanzioni alla luce dell’art.83.3 del GDPR;
2. definire l’importo base della sanzione partendo in primo luogo dal criterio del livello di gravità della violazione, in base alle previsioni dell’art. 83.2 del GDPR (natura, gravità e durata; carattere colposo o doloso; categorie di dati personali interessati): lieve gravità, importo compreso tra lo 0 e il 10% del massimale legale applicabile (cfr oltre punto 4); media gravità, importo compreso tra il 10 e il 20%; elevata gravità, importo compreso tra il 20 e il 100%.
Un secondo criterio da applicare è dato dalla correzione per il fatturato (vale per le imprese ma, come detto, le LG4 prevedono la possibilità che per il settore pubblico venga definita una metodologia simile). Vengono definite 7 classi di fatturato, fra cui la più bassa è quella di un fatturato fra 0 – 2 mln di euro a quella più alta per un fatturato superiore a 500 mln di euro; vengono quindi proposti abbattimenti vari rispetto all’importo base della sanzione (calcolato secondo il precedente punto a) che vanno da un abbattimento al livello fra lo 0,2 e lo 0,4% dell’importo base della sanzione, per fatturati fino a 2 mln di euro fino a nessun abbattimento per fatturati superiori a 500 milioni di euro;
3. Il successivo passaggio consiste nel verificare se applicabili possibili aggravanti o attenuanti (secondo le indicazioni dell’art. 83.2 del GDPR) ai fini della revisione dell’importo emergente dall’applicazione dei punti a e b;
4.Un ulteriore step (separato ma che proceduralmente va svolto in parallelo ai criteri già menzionati) attiene alla determinazione del massimale legale applicabile per calcolare la sanzione: i massimali “statici” sono 10 e 20 milioni di euro, mentre quelli “dinamici”, applicabili se superiori, sono dati da una percentuale del fatturato del 2 o del 4% a seconda della fattispecie della lesione al GDPR. Per il settore pubblico, salvo che l’organizzazione interessate non operi come impresa, saranno applicabili i soli massimali “statici”. L’EDPB si sofferma nel relativo capitolo 6 sui criteri per individuare l’impresa responsabile e la determinazione del fatturato;
5.Infine, l’Autorità Garante dovrà vagliare se l’importo calcolato soddisfi i requisiti di effettività, proporzionalità (ai fini della sua sostenibilità per il soggetto interessato alla luce anche delle connotazioni del contesto socioeconomico di riferimento) e dissuasione o se siano necessari ulteriori adeguamenti dell’importo della sanzione, che non potrà comunque superare il massimale legale applicabile. Circa la dissuasività che deve connotare la sanzione, viene comunque indicato che le Autorità Garanti possano adottare un moltiplicatore discrezionale laddove ritengano che l’importo calcolato non sia sufficientemente dissuasivo.
In sostanza applicando i suddetti criteri in assenza di i) aggravanti / attenuanti, ii) altre correzioni secondo i criteri di effettività, proporzionalità e dissuasione, iii) valutazioni ad hoc delle Autorità Garanti, possiamo individuare, rispetto ai due massimi di 10 e 20 milioni di euro previsti dal GDPR, i seguenti minimi di sanzione rispetto ai tre casi, previsti dalle LG4, di:
- infrazioni di lieve gravità: 0 euro;
- infrazioni di media gravità: da 1 a 2 milioni per i soggetti pubblici; da 2.000 a 4.000 euro per le imprese con fatturato fino a 2 milioni di euro;
- infrazioni di gravità elevata: da 2 a 4 milioni di euro per i soggetti pubblici; da 4.000 a 8.000 euro per le imprese con fatturato fino a 2 milioni di euro.
Ovviamente si tratta di calcoli meramente teorici (e paradossali) e che in cui la variabile fatturato, come detto non direttamente applicabile ai soggetti pubblici, influenza il risultato finale: ma non è da escludere che in futuro un Garante possa trovarsi di fronte alla medesima violazione da parte di un soggetto pubblico e un piccolo operatore economico.
Ciò posto, sarebbe auspicabile che i pronunciamenti delle (tutte) Autorità Garanti i) siano sempre e tempestivamente pubblicati e ii) diano conto di come abbiano applicato la metodologia descritta almeno in termini generali.
Inoltre, Italia (ma non solo), per il settore pubblico, andrebbe condotta – come ventilato nelle LG4 e per evitare il paradosso sopra evidenziato - una riflessione per definire una metodologia, alternativa al concetto di fatturato, atta a meglio calibrare l’importo delle eventuali sanzioni secondo una scala articolata per quanto possibile come quella del settore privato.
I criteri potrebbero essere diversi, ad esempio la popolazione / utenza di riferimento o il volume delle risorse gestite. Ciò anche per tener conto che, come nel contesto privato la capacità delle imprese è funzione senz’altro delle dimensioni economiche, anche nel settore pubblico la capacità di operare è funzione delle dimensioni: basti pensare al caso del piccolo comune rispetto ai capoluoghi di regione.
In assenza di ciò si pensi alle diverse evenienze in cui a fronte di una medesima fattispecie, la sanzione potrebbe essere abbattuta, in base al criterio del fatturato, per una clinica privata ma non per un piccolo ospedale pubblico con pari utenza; per una scuola privata rispetto ma non per una scuola pubblica con pari docenti/discenti.
Ancor più complessa poi l’evenienza di una medesima violazione inerente al whistleblowing da parte di organizzazioni pubbliche e private come quelle citate che potrebbe essere:
- sanzionata in maniera omologa dall’ANAC vs organizzazioni pubbliche e private, nella forchetta 10.000/50.000 euro in base al d lgs. 24/2023 che il 15 luglio entrerà in funzione sanzionata;
- sanzionata in maniera difforme dal Garante privacy in base alle LG4 e, comunque, per importi che potrebbero essere multipli di quelli applicabili dall’ANAC (salva l’applicazione del “ne bis in idem” o vi siano intese fra ANAC e Garante che chiariscano chi debba, a seconda delle circostanze, perseguire i diversi casi).
In prospettiva, anche grazie alla disamina delle decisioni che verranno adottate dai diversi Garanti, a livello macro sarà possibile perseguire se non pretendere una applicazione conforme della privacy nello SEE.
A livello micro, sin d’ora, ciascun titolare che tenga sostanzialmente alla privacy potrà sapere che le eventuali infrazioni che dovesse commettere potranno comunque essere graduate su tre livelli e valutate anche (in diminuzione) in base a circostanze attenuanti. Per chi invece intendesse fare arbitraggio fra infrazione (volontaria) e teorica sanzione (se venisse scoperto) le LG4 ribadiscono che la quantificazione dovrà comunque essere efficace e dissuasiva e i massimali legali pienamente esplicarsi: a buon intenditor…