Il 12 maggio 2022 il Comitato europeo per la protezione dei dati ha adottato le Linee Guida 04/2022 che hanno l’obiettivo di armonizzazione le metodologie di calcolo delle sanzioni amministrative pecuniarie connesse alle violazioni del Regolamento UE 2016/679 sulla protezione dei dati personali (GDPR) all’interno dell’area UE.
Infatti, dall’entrata in vigore del Gdpr, alcune autorità europee si sono rivelate più severe nell’irrogare sanzioni, mentre altre hanno calcato meno la mano, e se in alcuni paesi è stato registrato un numero elevato di provvedimenti; invece, in altri le multe comminate sono state pochissime, o addirittura nessuna.
Secondo i criteri delle nuove linee guida, il calcolo dell’importo della sanzione è a discrezione dell’autorità di controllo, nel rispetto delle norme previste dal GDPR.
In tal senso, rileva l’art. 83 comma 1 del Regolamento europeo, che prevede che le sanzioni amministrative pecuniarie inflitte siano in ogni singolo caso:
– effettive;
– proporzionate;
– dissuasive.
Inoltre, continua lo European Data Protection Board, nel fissare l’importo della sanzione, le autorità di vigilanza devono tenere in debita considerazione un elenco di circostanze che si riferiscono a gravità e caratteristiche della violazione o all’autore (articolo 83, paragrafo 2, del GDPR), e per quanto riguarda i massimali, si tengono fermi i limiti dell’importo delle sanzioni previsti dall’articolo 83, paragrafi 4, 5 e 6 del GDPR.
Le linee guida stabiliscono quindi una metodologia di calcolo in 5 fasi:
1. in primo luogo, le autorità per la protezione dei dati devono stabilire se il caso in questione riguarda uno o più casi di condotta sanzionabile e se questi hanno portato a una o più violazioni;
2. in secondo luogo, le autorità valutano la base di calcolo della sanzione secondo un modello armonizzato definito dal Comitato per la Protezione dei Dati
3. in terzo luogo, le autorità di controllo devono considerare i fattori aggravanti o attenuanti che possono aumentare o diminuire l’importo della sanzione;
4. la quarta fase consiste nel determinare i massimali legali delle ammende e garantire che tali importi non vengano superati;
5. nella quinta e ultima fase, le autorità devono analizzare se l’importo finale calcolato soddisfa i requisiti di effettività, proporzionalità e dissuasione o se sono necessari ulteriori adeguamenti dell’importo.
Le presenti linee guida integrano le precedenti Linee Guida WP253 sulle circostanze rilevanti per l’applicazione e la previsione delle sanzioni, e rimarranno in consultazione pubblica fino al 27 giugno 2022 con la possibilità di inviare i propri commenti allo European Data Protection Board.