Calcolo sanzioni privacy: le Tabelle sul Punto Armonizzato dell’EDPB nelle Linee Guida 4/2022
18 Luglio 2023
Sanzioni efficaci, proporzionate e dissuasive Una sanzione pecuniaria per essere in linea con il GDPR deve essere efficace, proporzionata e dissuasiva. Una sanzione può essere considerata efficace se raggiunge gli obiettivi per i quali è stata inflitta ovvero l’obiettivo: di ristabilire il rispetto delle regole e/o di punire comportamenti illeciti e/o "al fine di rafforzare l'applicazione delle norme del presente regolamento" (considerando 148 GDPR). Una sanzione può essere considerata proporzionata se non eccede i limiti di quanto è opportuno e necessario per il conseguimento degli obiettivi di cui sopra, se è la meno onerosa tra quelle applicabili, se causa inconvenienti non sproporzionati rispetto alle finalità perseguite. Una sanzione può essere considerata dissuasiva se ha una puntuale carica di deterrenza specifica ovvero proprio per quell’impresa. Infatti laddove per un impresa normale può essere dissuasiva la sanzione di 500.000 euro, per Meta Platforms la stessa sanzione non ha alcun effetto deterrente. Il “PUNTO” di partenza per il calcolo della sanzione pecuniaria Assunto il principio fondamentale secondo cui la sanzione pecuniaria dev’essere efficace, proporzionata e dissuasiva, dobbiamo porre mano alla quantificazione. Il Comitato dei Garanti UE al fine di armonizzare la metodologia di calcolo della sanzione ha adottato il sistema del “Punto” elaborato su parametri poi declinati in Tabelle apposite. Le valutazioni per individuare il “PUNTO” si basano sui seguenti parametri: classificazione della violazione in concreto delle tipologie astratte (i tipi astratti ex art. 83, par.4 gdpr e i tipi ex art. 83, par 5-6 gdpr); la gravità della violazione (determinabile sui criteri: tipo di trattamento, numero di interessati coinvolti, danni subiti, condotta dolosa o colposa, categoria di dati colpita); il fatturato dell’ultimo anno distinto in due fasce ovvero “fino a 500 milioni” e “oltre 500 milioni”. L’EDPB sottolinea che il PUNTO non è una tariffa, non è il risultato secco di un calcolo matematico, ma il risultato di un’elaborazione logica e per questo deve considerarsi un approdo di riferimento che non vincola il Garante territoriale. Il calcolo del “Punto armonizzato” I tre parametri indicati sopra vengono valutati e poi tradotti in calcoli seguendo 3 fasi. Fase n.1. Classificazione della violazione La classica distinzione tra gruppo di violazioni dell’art. 83, par.4 gdpr e gruppo dell’art. 83, par. 5 e 6 gdpr definita classificazione astratta viene tradotta in una classificazione concreta alla luce del singolo caso trattato. L’analisi delle circostanze concrete permette al Garante di «riesaminare l’interesse che la disposizione violata mira a proteggere e il posto di tale disposizione nel quadro della protezione dei dati. Inoltre, l’autorità di controllo può valutare in che misura la violazione abbia impedito l’effettiva applicazione della disposizione e il raggiungimento dell’obiettivo che essa intendeva tutelare» (EDPB, Linee Guida 4/2022 pag.18). Fase n.2. Livello di Gravità della violazione Il livello di gravità della violazione dev’essere stabilito considerando la natura del trattamento, il numero degli interessati coinvolti, il danno causato, la durata della violazione, il dolo o la colpa, le categorie di dati violati. L’esigenza di speditezza logica del discorso ci impedisce di soffermarsi sull’analisi molto ben dettagliata delle Linee Guida (pagg.17-20) di cui si consiglia la lettura ai fini di una migliore comprensione di questa fase. Si tratta di valutazione complessiva di tutti i criteri indicati e non di una sommatoria: «59. La valutazione dei fattori di cui sopra (capitoli 4.2.1–4.2.3) determina la gravità dell'infrazione nel suo insieme. Questa valutazione non è un calcolo matematico in cui si trovano i suddetti fattori considerati individualmente, ma piuttosto una valutazione approfondita delle circostanze concrete del caso, in cui tutti i fattori sopra menzionati sono interconnessi. Pertanto, nell'esaminare la gravità dell'infrazione, occorre tener conto dell'infrazione nel suo insieme» (EDPB, Linee Guida 4/2022 pag.21) Dopo aver vagliato ciascuno di questi criteri nel caso concreto si addiviene a una valutazione complessiva che determina i vari livelli di gravità della violazione: lieve, medio, elevato. Al livello lieve si conferisce: una forbice tra lo 0 e il 10%; al livello medio si conferisce: una forbice tra il 10% e il 20%; al livello elevato si conferisce: una forbice dal 20% al 100%. Fase n.3. Fatturato: fino a 500 milioni (si calcola sul massimo statico) e oltre 500 milioni (si calcola sul massimo dinamico) Il fatturato è indicativo delle dimensioni e del potere economico dell’impresa e quindi risulta indispensabile che venga considerato nelle valutazioni che costituiscono il “PUNTO” di partenza per il calcolo della sanzione pecuniaria. Si conferisce: al fatturato fino a 2 milioni: una forbice tra 0,2 e 0,4 % dell’importo iniziale ricavato dal livello di gravità; al fatturato da 2m a 10m: una forbice tra 0,3 e 2% dell’importo iniziale ricavato dal livello di gravità; al fatturato da 10m a 50m: una forbice tra 1,5 e 10% dell’importo iniziale ricavato dal livello di gravità; al fatturato da 50m a 100m: una forbice tra 8 e 20% dell’importo iniziale ricavato dal livello di gravità; al fatturato da 100m a 250m: una forbice tra 15 e 50% dell’importo iniziale ricavato dal livello di gravità; al fatturato da 250m a 500m: una forbice tra 40 e 100% dell’importo iniziale ricavato dal livello di gravità. Le Tabelle sul “Punto armonizzato” I tre fondamenti del “Punto Armonizzato” sono dunque: tipo di violazione (gruppo ex art. 83, par.4 gdpr o gruppo ex art. 83, par. 5-6 gdpr); livello di gravità (lieve, medio, elevato); fatturato (più o meno di 500 milioni). Questi tre fondamenti vengono combinati in Tabelle che restituiscono il quantum del “Punto Armonizzato”. L’EDPB illustra la “metodologia di calcolo armonizzata” mediante il leading case lett. A tradotto nella relativa Tabella e il leading case lett. B tradotto nella relativa Tabella. Leading case lett. A) (EDPB, Linee Guida 4/2022 pag.47) Si scopre che una società di social media con un fatturato di 200 milioni di euro ha venduto dati sensibili dei suoi utenti a diversi data broker. Ai fini di questo esempio, la società ha violato l'articolo 9 del GDPR. L'autorità di controllo, dopo aver analizzato tutte le circostanze rilevanti nel caso ai sensi dell'articolo 83, paragrafo 2, lettere a), b) e g), ha deciso che l'infrazione presenta un livello di gravità elevato. Successivamente, l'autorità di vigilanza deve decidere l'importo iniziale per l'ulteriore calcolo. L'articolo 9 è elencato nell'articolo 83, paragrafo 5, lettera a), del GDPR, che stabilisce che il massimo legale è di 20 milioni di euro o il 4% del fatturato annuo. In questo caso, il fatturato dell'impresa è inferiore a 500 milioni di euro, il che significa che si applicano il massimo e l'intervallo statici. Pertanto, dovrebbe essere considerato un importo di partenza compreso tra il 20% e il 100% del massimo legale applicabile, vale a dire 4 milioni di euro e 20 milioni di euro. Considerando che quanto più grave è l'infrazione all'interno della propria categoria, tanto più alto sarà probabilmente l'importo iniziale, l'autorità di vigilanza decide che l'importo iniziale basato sulla gravità dell'infrazione dovrebbe essere di 10 milioni di euro. Questo importo iniziale sarà adeguato in base alle dimensioni dell'impresa. L'impresa ha un fatturato annuo di 200 milioni di euro e rientra quindi nella fascia compresa tra 100 milioni di euro e 250 milioni di euro. Ciò significa che l'importo iniziale verrà adeguato a un importo compreso tra il 15% e il 50% dell'importo iniziale (10 milioni). Considerando che maggiore è il fatturato dell'impresa all'interno del suo livello applicabile, maggiore sarà probabilmente l'importo iniziale, l'Autorità di controllo decide che un adeguamento fino al 40% dell'importo iniziale (10 milioni: individuati in base al livello di gravità) è giustificato in riferimento alla dimensione dell'impresa. L'importo iniziale dopo l'adeguamento sarà quindi in questo caso di 4 milioni di euro. Abbiamo trovato il quantum del “Punto Armonizzato” ovvero 4 milioni di euro. Tabella Leading case lett. A) Nel leading case A abbiamo: un fatturato di 200 milioni, violazione ex art. 83 par. 5 gdpr, livello di gravità elevato (dal 20% al 100%). Livelli di Gravità per fatturato fino a 500 milioni si calcola su Massimo Statico
ADEGUAMENTO dell’importo iniziale di 10 milioni per considerare nel PUNTO anche le DIMENSIONI DELL’IMPRESA che si valutano sulla scorta del fatturato. (Solo per imprese con fatturato fino a 500 milioni. Oltre i 500m non si fa adeguamento)
Si procede a parametrare 10milioni (importo iniziale) sul fatturato tra il 15% e il 50% e si decide di assumere il 40% come punto di partenza, ricavato sul criterio che “maggiore è il fatturato dell'impresa all'interno del suo livello applicabile, maggiore sarà probabilmente l'importo iniziale”. Così si provvede a ricavare il 40% di 10 milioni che è 4 milioni PUNTO DI PARTENZA: la cifra di 4 milioni è il PUNTO di partenza per eseguire il calcolo. Su questa cifra verranno ulteriormente valutati e quindi calcolate le aggravanti e/o le attenuanti evitando di calcolare due volte lo stesso parametro. Leading case lett. B) (EDPB, Linee Guida 4/2022 pag.47-48) Una catena alberghiera con un fatturato di 2 miliardi di euro ha violato l'articolo 12 del GDPR. L'Autorità di controllo, dopo aver analizzato le circostanze del caso ai sensi dell'articolo 83, paragrafo 2, lettere a), b) e g), ha ritenuto che la violazione fosse di media gravità. L'Autorità di controllo rileva innanzitutto che l'articolo 12 del GDPR è elencato nell'articolo 83, paragrafo 5, lettera b) del GDPR. Il fatturato dell'impresa è di 2 miliardi di euro, che è superiore a 500 milioni di euro e pertanto si applica il massimo dinamico. Ciò significa che il massimo legale è il 4% del fatturato annuo dell'impresa, pari a 80 milioni di euro. Il livello di gravità è medio e, pertanto, l'importo di partenza è da considerarsi compreso tra il 10% e il 20 % del massimo legale applicabile (80 milioni) che equivale ad un importo di partenza compreso tra 8 milioni e 16 milioni di euro. Considerando che quanto più grave è l'infrazione all'interno della propria categoria, tanto più alto sarà probabilmente l'importo iniziale, l'Autorità di controllo ritiene che, a causa della gravità dell'infrazione, l'importo iniziale dovrebbe essere di 12 milioni di euro, ossia il 15% del massimo legale. Poiché l'impresa ha un fatturato annuo superiore a 500 milioni di euro e si applica il massimo legale dinamico, la dimensione dell'impresa si riflette già nel massimo legale dinamico utilizzato per determinare l'importo iniziale. Di conseguenza, non viene applicato alcun ulteriore aggiustamento. Abbiamo trovato il quantum del “Punto Armonizzato” ovvero 12 milioni di euro. Tabella Leading case lett. B) Nel leading case B abbiamo: un fatturato di 2 miliardi, violazione ex art. 83 par. 5 gdpr, livello di gravità medio (dal 10% al 20%). Livelli di Gravità per fatturato superiore a 500 milioni si calcola su Massimo Dinamico
NON SI PROCEDE ALL’ADEGUAMENTO dell’importo iniziale di 12 milioni perché - trattandosi di impresa con ultimo fatturato annuo superiore a 500 milioni – è stato utilizzato come parametro di calcolo il massimo dinamico (4% del fatturato) nel quale è già insita la dimensione dell’azienda. PUNTO DI PARTENZA: la cifra di 12 milioni è il PUNTO di partenza per eseguire il calcolo. Su questa cifra verranno ulteriormente valutati e quindi calcolate le aggravanti e/o le attenuanti evitando di calcolare due volte lo stesso parametro. (Fonte: Diritto e Giustizia) |
