L’EDPB nelle linee guida 4/2022 sulla determinazione delle sanzioni pecuniarie raccomanda una metodologia di calcolo per individuare il punto di partenza armonizzato” che ogni Garante interno potrebbe assumere come base di calcolo sulla quale applicare, ad esempio, il cumulo di infrazioni multiple, gli aumenti e/o le diminuzioni per le circostanze aggravanti e/o attenuanti dello specifico caso concreto. Spuntano così le Tabelle sul Punto Armonizzato” elaborate dall’EDPB che verranno illustrate in questo contributo unitamente ai due leading case in cui il Comitato dei Garanti UE spiega la metodologia di calcolo armonizzata”.
Sanzioni efficaci, proporzionate e dissuasive Una sanzione pecuniaria per essere in linea con il GDPR deve essere efficace, proporzionata e dissuasiva. Una sanzione può essere considerata efficace se raggiunge gli obiettivi per i quali è stata inflitta ovvero l’obiettivo di ristabilire il rispetto delle regole e/o di punire comportamenti illeciti e/o al fine di rafforzare l'applicazione delle norme del presente regolamento considerando 148 GDPR . Una sanzione può essere considerata proporzionata se non eccede i limiti di quanto è opportuno e necessario per il conseguimento degli obiettivi di cui sopra, se è la meno onerosa tra quelle applicabili, se causa inconvenienti non sproporzionati rispetto alle finalità perseguite. Una sanzione può essere considerata dissuasiva se ha una puntuale carica di deterrenza specifica ovvero proprio per quell’impresa. Infatti laddove per un impresa normale può essere dissuasiva la sanzione di 500.000 euro, per Meta Platforms la stessa sanzione non ha alcun effetto deterrente. Il PUNTO” di partenza per il calcolo della sanzione pecuniaria Assunto il principio fondamentale secondo cui la sanzione pecuniaria dev’essere efficace, proporzionata e dissuasiva, dobbiamo porre mano alla quantificazione. Il Comitato dei Garanti UE al fine di armonizzare la metodologia di calcolo della sanzione ha adottato il sistema del Punto” elaborato su parametri poi declinati in Tabelle apposite. Le valutazioni per individuare il PUNTO” si basano sui seguenti parametri classificazione della violazione in concreto delle tipologie astratte i tipi astratti ex art. 83, par.4 gdpr e i tipi ex art. 83, par 5-6 gdpr la gravità della violazione determinabile sui criteri tipo di trattamento, numero di interessati coinvolti, danni subiti, condotta dolosa o colposa, categoria di dati colpita il fatturato dell’ultimo anno distinto in due fasce ovvero fino a 500 milioni” e oltre 500 milioni”. L’EDPB sottolinea che il PUNTO non è una tariffa, non è il risultato secco di un calcolo matematico, ma il risultato di un’elaborazione logica e per questo deve considerarsi un approdo di riferimento che non vincola il Garante territoriale. Il calcolo del Punto armonizzato” I tre parametri indicati sopra vengono valutati e poi tradotti in calcoli seguendo 3 fasi. Fase numero 1. Classificazione della violazione La classica distinzione tra gruppo di violazioni dell’art. 83, par.4 gdpr e gruppo dell’art. 83, par. 5 e 6 gdpr definita classificazione astratta viene tradotta in una classificazione concreta alla luce del singolo caso trattato. L’analisi delle circostanze concrete permette al Garante di riesaminare l’interesse che la disposizione violata mira a proteggere e il posto di tale disposizione nel quadro della protezione dei dati. Inoltre, l’autorità di controllo può valutare in che misura la violazione abbia impedito l’effettiva applicazione della disposizione e il raggiungimento dell’obiettivo che essa intendeva tutelare EDPB, Linee Guida 4/2022 pag.18 . Fase numero 2. Livello di Gravità della violazione Il livello di gravità della violazione dev’essere stabilito considerando la natura del trattamento, il numero degli interessati coinvolti, il danno causato, la durata della violazione, il dolo o la colpa, le categorie di dati violati. L’esigenza di speditezza logica del discorso ci impedisce di soffermarsi sull’analisi molto ben dettagliata delle Linee Guida pagg.17-20 di cui si consiglia la lettura ai fini di una migliore comprensione di questa fase. Si tratta di valutazione complessiva di tutti i criteri indicati e non di una sommatoria 59. La valutazione dei fattori di cui sopra capitoli 4.2.1–4.2.3 determina la gravità dell'infrazione nel suo insieme. Questa valutazione non è un calcolo matematico in cui si trovano i suddetti fattori considerati individualmente, ma piuttosto una valutazione approfondita delle circostanze concrete del caso, in cui tutti i fattori sopra menzionati sono interconnessi. Pertanto, nell'esaminare la gravità dell'infrazione, occorre tener conto dell'infrazione nel suo insieme EDPB, Linee Guida 4/2022 pag.21 Dopo aver vagliato ciascuno di questi criteri nel caso concreto si addiviene a una valutazione complessiva che determina i vari livelli di gravità della violazione lieve, medio, elevato. Al livello lieve si conferisce una forbice tra lo 0 e il 10% al livello medio si conferisce una forbice tra il 10% e il 20% al livello elevato si conferisce una forbice dal 20% al 100%. Fase numero 3. Fatturato fino a 500 milioni si calcola sul massimo statico e oltre 500 milioni si calcola sul massimo dinamico Il fatturato è indicativo delle dimensioni e del potere economico dell’impresa e quindi risulta indispensabile che venga considerato nelle valutazioni che costituiscono il PUNTO” di partenza per il calcolo della sanzione pecuniaria. Si conferisce al fatturato fino a 2 milioni una forbice tra 0,2 e 0,4 % dell’importo iniziale ricavato dal livello di gravità al fatturato da 2m a 10m una forbice tra 0,3 e 2% dell’importo iniziale ricavato dal livello di gravità al fatturato da 10m a 50m una forbice tra 1,5 e 10% dell’importo iniziale ricavato dal livello di gravità al fatturato da 50m a 100m una forbice tra 8 e 20% dell’importo iniziale ricavato dal livello di gravità al fatturato da 100m a 250m una forbice tra 15 e 50% dell’importo iniziale ricavato dal livello di gravità al fatturato da 250m a 500m una forbice tra 40 e 100% dell’importo iniziale ricavato dal livello di gravità. Le Tabelle sul Punto armonizzato” I tre fondamenti del Punto Armonizzato” sono dunque tipo di violazione gruppo ex art. 83, par.4 gdpr o gruppo ex art. 83, par. 5-6 gdpr livello di gravità lieve, medio, elevato fatturato più o meno di 500 milioni . Questi tre fondamenti vengono combinati in Tabelle che restituiscono il quantum del Punto Armonizzato”. L’EDPB illustra la metodologia di calcolo armonizzata” mediante il leading case lett. A tradotto nella relativa Tabella e il leading case lett. B tradotto nella relativa Tabella. Leading case lett. A EDPB, Linee Guida 4/2022 pag.47 Si scopre che una società di social media con un fatturato di 200 milioni di euro ha venduto dati sensibili dei suoi utenti a diversi data broker. Ai fini di questo esempio, la società ha violato l'articolo 9 del GDPR. L'autorità di controllo, dopo aver analizzato tutte le circostanze rilevanti nel caso ai sensi dell'articolo 83, paragrafo 2, lettere a , b e g , ha deciso che l'infrazione presenta un livello di gravità elevato . Successivamente, l'autorità di vigilanza deve decidere l'importo iniziale per l'ulteriore calcolo. L'articolo 9 è elencato nell'articolo 83, paragrafo 5, lettera a , del GDPR, che stabilisce che il massimo legale è di 20 milioni di euro o il 4% del fatturato annuo. In questo caso, il fatturato dell'impresa è inferiore a 500 milioni di euro, il che significa che si applicano il massimo e l'intervallo statici . Pertanto, dovrebbe essere considerato un importo di partenza compreso tra il 20% e il 100% del massimo legale applicabile, vale a dire 4 milioni di euro e 20 milioni di euro. Considerando che quanto più grave è l'infrazione all'interno della propria categoria, tanto più alto sarà probabilmente l'importo iniziale, l'autorità di vigilanza decide che l'importo iniziale basato sulla gravità dell'infrazione dovrebbe essere di 10 milioni di euro . Questo importo iniziale sarà adeguato in base alle dimensioni dell'impresa. L'impresa ha un fatturato annuo di 200 milioni di euro e rientra quindi nella fascia compresa tra 100 milioni di euro e 250 milioni di euro. Ciò significa che l'importo iniziale verrà adeguato a un importo compreso tra il 15% e il 50% dell'importo iniziale 10 milioni . Considerando che maggiore è il fatturato dell'impresa all'interno del suo livello applicabile, maggiore sarà probabilmente l'importo iniziale, l'Autorità di controllo decide che un adeguamento fino al 40% dell'importo iniziale 10 milioni individuati in base al livello di gravità è giustificato in riferimento alla dimensione dell'impresa. L'importo iniziale dopo l'adeguamento sarà quindi in questo caso di 4 milioni di euro. Abbiamo trovato il quantum del Punto Armonizzato” ovvero 4 milioni di euro. Tabella Leading case lett. A Nel leading case A abbiamo un fatturato di 200 milioni, violazione ex art. 83 par. 5 gdpr, livello di gravità elevato dal 20% al 100% . Livelli di Gravità per fatturato fino a 500 milioni si calcola su Massimo Statico Violazione GRAVITÀ Livello basso GRAVITÀ Livello medio GRAVITÀ Livello elevato da 0% a 10% del massimo statico da 10% a 20% del massimo statico da 20% a 100% del massimo statico Art. 83, par.4 gdpr Si calcola sul massimo statico di 10 milioni Da euro 0 a 1 milione Da euro 1 milione a 2 milioni Da euro 2m a 10 milioni Art. 83, par.5-6 gdpr Si calcola sul massimo statico di 20 milioni Da euro 0 a 2 milioni Da euro 2m a 4 milioni Da euro 4m a 20 milioni. Si decide di assumere 10 milioni come importo iniziale , ricavato sul criterio che quanto più grave è l'infrazione all'interno della propria categoria, tanto più alto sarà probabilmente l'importo iniziale ” ADEGUAMENTO dell’ importo iniziale di 10 milioni per considerare nel PUNTO anche le DIMENSIONI DELL’IMPRESA che si valutano sulla scorta del fatturato. Solo per imprese con fatturato fino a 500 milioni. Oltre i 500m non si fa adeguamento Fatturato annuo imprese con fatturato annuo da 50m a 100m imprese con fatturato annuo da 100m a 250m imprese con fatturato annuo da 250m a 500m Da 8% a 20% dell'importo iniziale Da 15% a 50% dell'importo iniziale Da 40% a 100% dell'importo iniziale Si decide di assumere il 40% come punto di partenza , ricavato sul criterio che maggiore è il fatturato dell'impresa all'interno del suo livello applicabile, maggiore sarà probabilmente l'importo iniziale ” Si procede a parametrare 10milioni importo iniziale sul fatturato tra il 15% e il 50% e si decide di assumere il 40% come punto di partenza, ricavato sul criterio che maggiore è il fatturato dell'impresa all'interno del suo livello applicabile, maggiore sarà probabilmente l'importo iniziale ”. Così si provvede a ricavare il 40% di 10 milioni che è 4 milioni PUNTO DI PARTENZA la cifra di 4 milioni è il PUNTO di partenza per eseguire il calcolo. Su questa cifra verranno ulteriormente valutati e quindi calcolate le aggravanti e/o le attenuanti evitando di calcolare due volte lo stesso parametro. Leading case lett. B EDPB, Linee Guida 4/2022 pag.47-48 Una catena alberghiera con un fatturato di 2 miliardi di euro ha violato l'articolo 12 del GDPR. L'Autorità di controllo, dopo aver analizzato le circostanze del caso ai sensi dell'articolo 83, paragrafo 2, lettere a , b e g , ha ritenuto che la violazione fosse di media gravità . L'Autorità di controllo rileva innanzitutto che l'articolo 12 del GDPR è elencato nell'articolo 83, paragrafo 5, lettera b del GDPR. Il fatturato dell'impresa è di 2 miliardi di euro, che è superiore a 500 milioni di euro e pertanto si applica il massimo dinamico . Ciò significa che il massimo legale è il 4% del fatturato annuo dell'impresa, pari a 80 milioni di euro. Il livello di gravità è medio e, pertanto, l'importo di partenza è da considerarsi compreso tra il 10% e il 20 % del massimo legale applicabile 80 milioni che equivale ad un importo di partenza compreso tra 8 milioni e 16 milioni di euro. Considerando che quanto più grave è l'infrazione all'interno della propria categoria, tanto più alto sarà probabilmente l'importo iniziale, l'Autorità di controllo ritiene che, a causa della gravità dell'infrazione, l'importo iniziale dovrebbe essere di 12 milioni di euro, ossia il 15% del massimo legale. Poiché l'impresa ha un fatturato annuo superiore a 500 milioni di euro e si applica il massimo legale dinamico, la dimensione dell'impresa si riflette già nel massimo legale dinamico utilizzato per determinare l'importo iniziale. Di conseguenza, non viene applicato alcun ulteriore aggiustamento . Abbiamo trovato il quantum del Punto Armonizzato” ovvero 12 milioni di euro. Tabella Leading case lett. B Nel leading case B abbiamo un fatturato di 2 miliardi, violazione ex art. 83 par. 5 gdpr, livello di gravità medio dal 10% al 20% . Livelli di Gravità per fatturato superiore a 500 milioni si calcola su Massimo Dinamico Violazione GRAVITÀ Livello basso GRAVITÀ Livello medio GRAVITÀ Livello elevato da 0% a 10% del massimo statico da 10% a 20% del massimo statico da 20% a 100% del massimo statico Art. 83, par.4 gdpr Si calcola sul massimo dinamico del 2% del fatturato dell’ultimo anno. Il fatturato è di 2 miliardi. Si calcola il 2% di 2 miliardi e si ottiene il massimo dinamico che in questo caso corrisponde a 40 milioni Da euro 0 a 4m Da euro 4m a 8m Da euro 8m a 40 milioni Art. 83, par.5-6 gdpr Si calcola sul massimo dinamico del 4% del fatturato dell’ultimo anno. Il fatturato è di 2 miliardi. Si calcola il 4% di 2 miliardi e si ottiene il massimo dinamico che in questo caso corrisponde a 80 milioni Da euro 0 a 8m Da euro 8m a 16 milioni Si decide di assumere 12 milioni quale importo iniziale , ricavato sul criterio che quanto più grave è l'infrazione all'interno della propria categoria, tanto più alto sarà probabilmente l'importo iniziale ” Da euro 16m a 80 milioni. NON SI PROCEDE ALL’ADEGUAMENTO dell’importo iniziale di 12 milioni perché - trattandosi di impresa con ultimo fatturato annuo superiore a 500 milioni – è stato utilizzato come parametro di calcolo il massimo dinamico 4% del fatturato nel quale è già insita la dimensione dell’azienda. PUNTO DI PARTENZA la cifra di 12 milioni è il PUNTO di partenza per eseguire il calcolo. Su questa cifra verranno ulteriormente valutati e quindi calcolate le aggravanti e/o le attenuanti evitando di calcolare due volte lo stesso parametro.