Le recenti linee guida, sottoposte a consultazione pubblica sino al 27 giugno prossimo, si propongono di armonizzare a livello comunitario i criteri per la determinazione delle sanzioni amministrative pecuniarie, fornendo un’apposita metodologia di calcolo che dovrà conciliarsi con le peculiarità proprie di ogni caso di specie e con la necessità che ciascuna sanzione risulti effettivamente proporzionata e dissuasiva.
L’obiettivo perseguito dalle linee guida in esame (di seguito, le “Linee Guida”) è condensato nelle parole di Andrea Jelinek, presidente dell’European Data Protection Board (“EDPB”), il quale, all’esito della relativa pubblicazione, ha dichiarato che le Autorità di controllo nazionali potranno finalmente disporre della stessa metodologia per il calcolo delle sanzioni pecuniarie requisito ritenuto imprescindibile per favorire la richiesta armonizzazione e trasparenza delle pratiche sanzionatorie - seppur precisando che le peculiarità di ciascun caso pratico costituiscano un fattore determinante e suscettibile di incidere notevolmente sul quantum.
La predetta metodologia di calcolo, ampiamente descritta all’interno delle Linee Guida, è ripartita nei seguenti 5 step:
- in primo luogo, ciascuna Autorità è chiamata a verificare se sussista un “concorso” tra le condotte illecite e. per l’effetto, a valutare quali e quante violazioni ne siano derivate; tanto in considerazione dell’evidenza per cui, in caso di “trattamenti collegati” (concetto approfondito proprio dalle Linee Guida), l’importo totale della sanzione amministrativa pecuniaria non può superare l’importo specificato per la violazione più grave (cfr. art. 83, par. 3, GDPR);
- svolta tale analisi, occorre individuare uno starting point per il calcolo della sanzione che tenga in debita considerazione la natura della stessa, la relative gravità e le “dimensioni” del soggetto che ha commesso illecito;
- detta base di partenza è quindi destinata a essere calibrata in forza della sussistenza di eventuali circostanze attenuanti e/o aggravanti (all’uopo richiamandosi l’elencazione esemplificativa di cui all’art. 83, apr. 2, GDPR) che caratterizzino il caso di specie;
- le valutazioni sinora svolte devono necessariamente coniugarsi con la determinazione del massimo edittale al fine di evitare che lo stesso venga superato; per tale scopo, le Linee Guida si soffermano sul concetto di fatturato societario, in particolare laddove sussista un gruppo di imprese e sorga la necessità di individuare il soggetto sanzionabile;
- nel corso del quinto ed ultimo step, le Autorità di controllo devono appurare se l’importo sanzionatorio così stimato soddisfi i requisiti di efficacia, dissuasività e proporzionalità di cui all’art. 83, par. 1, GDPR o se sono necessari ulteriori aggiustamenti sul quantum al fine di perseguire concretamente i detti obiettivi normativamente prescritti.
Rispetto ai descritti step, occorre soffermarsi sulla metodologia alla base della determinazione dello starting point sanzionatorio, costituendo - a parere di chi scrive - l’aspetto più interessante delle Linee Guida e quello in cui si ravvisa concretamente la volontà di introdurre dei margini di oggettività rispetto ad una quantificazione (quasi) del tutto demandata alla sensibilità delle singole Autorità di controllo nazionali.
In dettaglio, ciascuna Autorità dovrà primariamente eseguire un assessment circa la gravità della violazione di specie (tenendo in considerazione le circostanze individuate dalle Linee Guida e gli esempi all’uopo forniti), che si concluderà con la stima di un livello di gravità: basso, medio o alto.
Per le infrazioni di bassa gravità, lo starting point si collocherà in un punto intermedio tra lo 0 e il 10% del massimo edittale applicabile. Per quelle di media gravità, tra il 10 e il 20%. Mentre per quelle stimate come a gravità alta il “punto di partenza sanzionatorio” sarà compreso tra il 20 e il 100% del massimo edittale.
Ancora, l’EDPB ritiene che il fatturato dell’impresa rea debba parimenti incidere sulla determinazione dello starting point, con l’effetto che quest’ultimo – per come in precedenza individuato – andrà proporzionalmente ridotto in funzione del detto parametro oggettivo. In particolare, a livello esemplificativo, per le imprese con un fatturato annuo ≤ a 2 milioni di euro, il predetto quantum potrà essere ridotto fino allo 0,2% dell’importo iniziale identificato. Tale percentuale ovviamente è destinata a crescere a seconda dei valori in gioco, con la conseguenza che, ad esempio, per le imprese con un fatturato annuo pari o superiore a 250 milioni di euro il quantum potrà essere ridotto fino al 50% dell’importo iniziale identificato.
Dall’esame delle Linee Guida, si evince come l’obiettivo di armonizzazione perseguito dall’EDPB risulti, in concreto, di difficile realizzazione. La descritta metodologia costituisce senz’altro un primo passo verso una direzione apprezzabile e necessaria, seppur con la (contraddittoria) evidenza per cui continua ad attribuirsi un peso pressoché determinante alle peculiarità del caso di specie e si rimette alla discrezionalità della singola Autorità la valutazione circa la concreta portata dissuasiva della sanzione. Sarebbe, pertanto, utile arricchire il dibattito comunitario partecipando attivamente alla consultazione pubblica indetta a proposito delle Linee Guida, offrendo spunti volti ad assicurare che, seppur lasciando spazio alla discrezionalità dell’Autorità, quest’ultima garantisca al soggetto sanzionato di comprendere chiaramente l’iter logico posto alla base della determinazione del quantum sanzionatorio. Al contempo, potrebbero collettivamente individuarsi delle “violazioni standard” per cui prevedere degli importi sanzionatori fissi e comuni a tutti i Paesi dell’Unione.
Newsletter
Iscriviti per ricevere i nostri aggiornamenti
