NEWS

Indicazioni applicative emergenti sulla determinazione delle sanzioni per violazioni privacy

Un recente Provvedimento del Garante, il n. 306 del 23 maggio 2024 afferente un data breach nell’utilizzo della posta elettronica, illustrato su Federprivacy in maniera articolata e mettendo in evidenza in particolare gli aspetti della formazione e dell’utilizzo di utility per prevenire eventi come quello occorso (messaggio inviato in cc a una pluralità di soggetti e contente dati sanitari), consente di rilevare come nell’attività del Garante a tutela della riservatezza dei dati personali emergano criteri per parametrare gli interventi sanzionatori.

Su questa materia, come pure a suo tempo trattato sul portale dell’Associazione, l’EDPB con le Linee guida 4/2022 ha fornito criteri per l’applicazione delle sanzioni; tale documento è complementare alle Linee guida WP253 (LG253) che si soffermano sulle circostanze per la quali la sanzione amministrative possa essere uno strumento di rigore più appropriato rispetto alle altre misure di rigore a disposizione della Autorità Garanti.

Il processo delineato dalle Linee guida 4/2002 prevede vari step, tenendo conto dei criteri dell’art. 83 del GDPR quali: gravità della violazione; dimensione e natura del soggetto; presenza di aggravanti e attenuanti, effettività, proporzionalità e dissuasione.

Un punto che l’EDPB, sulla base del GDPR, rimanda – per alcuni aspetti alle Autorità di controllo, per altri ai singoli Stati - è quello delle sanzioni per le entità pubbliche, fra cui la possibilità di tarare l’importo delle sanzioni per tali entità, ove previste dagli ordinamenti in relazione alla loro dimensione.

Su tale aspetto rileva in generale il punto 10 delle Linee guida 4/2022 e in particolare, la sezione 4.3 afferente alla irrogazione di una sanzione pecuniaria effettiva, dissuasiva e proporzionata in funzione del fatturato delle organizzazioni interessate. Tale sezione 4.3 è riferita elettivamente alle organizzazioni private, peraltro l’EDPB afferma che “Le autorità di controllo rimangono comunque libere di applicare una metodologia simile a quella descritta in tale sezione”.

Per completezza, si rammenta che il capitolo sul “Limite massimo di legge e responsabilità delle imprese” non è applicabile al calcolo delle sanzioni pecuniarie da infliggere a entità pubbliche nel caso in cui l'ordinamento nazionale preveda limiti massimi di legge diversi e l'autorità pubblica o l'organismo pubblico non agisca come impresa.

Ad oggi sia il Provvedimento 306/2024 sia altri Provvedimenti del Garante permettono di rilevare alcune interessanti indicazioni in merito al percorso definitorio del dimensionamento delle sanzioni:

- in alcuni Provvedimenti, infatti, si menziona la tabella 1 del Manuale ENISA WP2017 0- 2-2-5 circa la misurazione dell’impatto di una violazione privacy, come nel Provvedimento n. 500 del 26 ottobre 2023;
- in altri, inerenti a soggetti pubblici, il punto 60 delle predette Linee guida 4/2022, afferente al calcolo dell’”importo iniziale adeguato” per la sanzione in relazione al livello (basso, medio o alto) da considerare poi per la determinazione finale ai sensi del punto 43, come nel Provvedimento n. 235 dell’11 aprile 2024;
- in altri ancora, come nel citato Provvedimento n. 306/2024 e in quello n. 500 del 26 ottobre 2023, entrambe tali disposizioni.

Dal consolidamento nel tempo di questi pronunciamenti – fatta salva nel frattempo la formalizzazione e pubblicizzazione della metodologia ventilata dall’EDPB - sarà possibile trarre delle linee orientative sulla procedura sanzionatoria, a beneficio di tutti i soggetti dell’ecosistema privacy.

Una particolarità che sembra emergere è quella della applicazione (sebbene a livello fattuale) dei fattori di dimensionamento delle sanzioni del paragrafo 43 delle ripetute Linee guida 4/2022 anche al settore pubblico oltre che a quello privato (cfr ad esempio l’importo della sanzione di cui al Provvedimento 235/2024).

Con riguardo alle indicazioni ENISA va per completezza indicato che il Garante italiano evidenzia:

- ad es. nel Provvedimento n. 197 del 17 maggio 2023, che per il calcolo della gravità dell’evento ha anche fatto riferimento alle Raccomandazioni ENISA del 2013 “for a methodology of the assessment of severity of personal data breaches”;
- di aver collaborato alla elaborazione dello strumento strumento che ENISA ha messo a disposizione per la valutazione del rischio sicurezza.

In conclusione, il percorso verso una procedura per la gestione delle violazioni del GDPR e del Codice privacy sta proseguendo e ciò consentirà a tutti gli operatori del settore poter apprezzare la portata delle violazioni sia a fini di ottimale gestione anche del rischio privacy, nell’ambito del più generale risk management e anche nel settore pubblico.

E ciò dovrebbe avvenire non solo nel senso (deteriore) di valutare il rischio di una eventuale non compliance a fronte dei vantaggi per i propri business, ma di valorizzare il plus di fiducia e reputazionale che riviene dalla minimizzazione dei rischi per gli interessati. Che poi, non va dimenticato, potranno sempre ricercare in sede civile un risarcimento per la lesione alla propia riservatezza che ritenessero di aver subito.

Note Autore

Pasquale Mancino Pasquale Mancino

Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione. Nota: Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Ente di appartenenza dell’autore

Prev Le politiche di sensibilizzazione del personale come prova di accountability: un caso di scuola apprezzato dal Garante Privacy
Next Le norme ISO/IEC sulla sicurezza delle informazioni: nella gestione dei data breach si può sempre migliorare

Attenti a non diventare complici di campagne di disinformazione

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy