Privacy, ginepraio di sanzioni

DAL COMITATO EUROPEO PROTEZIONE DATI PERSONALI IN CONSULTAZIONE LE LINEE GUIDA SUL GDPR
di Antonio Ciccia Messina
Le sanzioni privacy sono un ginepraio. Per tentare di trovare il bandolo della matassa il Comitato Europeo per la protezione dei dati personali (Edpb), ha diffuso in consultazione pubblica le Linee guida n. 4 del 12/5/2022 sulle sanzioni del Gdpr (regolamento Ue 2016/679). Sono, però, Linee Guida che costringono i garanti della privacy a districarsi in una babele di calcoli.

Si deve partire dal Gdpr, che, però, stabilisce solo massimi altissimi (10 e 20 milioni o cifre più elevate proporzionali al fatturato delle imprese) per tutte le possibili violazioni (diverse centinaia sparse tra Gdpr e leggi nazionali). I garanti hanno, poi, l’incombenza di fissare una base di calcolo, applicando facoltative fasce percentuali in base alla gravità (indefinita dalle leggi e lasciata anch’essa al giudizio di garanti); infine, i garanti possono applicare all’importo base alcune soglie massime calcolate in percentuale sul fatturato. Naturalmente si tratta di criteri che, se non vincolano i garanti, a maggior ragione non vincolano i tribunali chiamati a giudicare un’opposizione contro una sanzione privacy.

Le Linee Guida dovrebbero rimettere in carreggiata tutti gli stati Ue, che sulle sanzioni privacy vanno in ordine sparso: lo riconosce anche il Parlamento europeo (risoluzione del 25/3/2021). Eppure l’apparato sanzionatorio è un elemento centrale del Gdpr (vedasi la relazione annuale per il 2020 del garante italiano).

Vediamo, dunque, i consigli delle Linee Guida.

IL GDPR

Il Gdpr individua due gruppi di sanzioni. La prima fascia riguarda le violazioni degli adempimenti previsti a carico dei titolari e responsabili di trattamento (imprese e pubbliche amministrazioni) e per un numero vastissimo di obblighi prevede solo il massimo della sanzione: 10 milioni di euro o, per le imprese, il 2% del fatturato mondiale annuo (se superiore ai 10 milioni). La seconda fascia riguarda le violazioni dei principi del trattamento e dei diritti degli interessati e per un altrettanto vasto numero di casi prevede solo il massimo della sanzione: 20 milioni di euro o, per le imprese, il 4% del fatturato mondiale annuo (se superiore ai 20 milioni). La conseguenza è che la discrezionalità nell’applicare la sanzione è illimitata: si può andare da zero a cifre astronomiche. Tanta indeterminatezza sconfina nella imprevedibilità della sanzione e nello zigzagare delle autorità.

LE LINEE GUIDA

EDPB

Il Comitato, che riunisce tutti i garanti europei, ha illustrato le norme del Gdpr (in particolare l’articolo 83). Il cuore delle Linee Guida è il flusso dei calcoli da fare per passare dall’astratta previsione normativa (che permette di fissare qualunque importo nel limite del massimo) alla concreta irrogazione, magari per fatti lievissimi a una piccolissima impresa o a un micro comune. Si tratta, in ogni caso, di criteri consigliati e non obbligatori.

IMPORTO BASE

Le Linee Guida suggeriscono di fissare un importo da mettere a base del calcolo. A questo riguardi, è opportuno che il garante collochi la violazione in una fascia di gravità (bassa, media, alta) per ciascuna delle quali le Linee ritagliano un minimo e un massimo calcolati in percentuale sul massimo previsto dal Gdpr: con il risultano di individuare tre ripartizioni interne, che un po’ riducono la vaghezza dell’articolo 83.

Questo, tuttavia, potrebbe non bastare ad arrivare alla sanzione congrua e proporzionata. Per una piccola impresa un importo di 1 milione per una violazione lievi degli adempimenti potrebbe essere comunque draconiana.

CORRETTIVI

A questo punto le Linee propongono, per le imprese, alcune soglie parametrate al fatturato. Ad esempio, sotto i due milioni di fatturato si consiglia di arrivare fino allo 0,2% dell’importo base individuato dal garante. Le soglie massime crescono fino alla quota del 50% dell’importo base per fatturati pari o superiore a 250 milioni di euro.

EFFETTI

Le Linee Guida mettono in evidenza una esigenza irrinunciabile di imprese e pubbliche amministrazioni: sanzioni certe e conoscibili, quale elemento di garanzia e di successo per lo stesso Gdpr, che non può essere confuso con un catalogo di punizioni in agguato, da applicarsi a sorpresa caso per caso.

A meno che non si voglia lasciare tutto all’alea imprevedibile dei contenziosi o dei procedimenti. La valutazione “caso per caso” presuppone, invece, la costruzione di un sistema di precedenti, cui uniformarsi e non certo di andare “a caso”, girovagando a scapito della imparzialità e del buon andamento.
Fonte: