C’è tempo fino al 27 giugno per le società private, gli enti pubblici, le associazioni e tutte le persone interessate per inviare i loro commenti e proposte di modifica alle nuove linee guide, adottate in via provvisoria dall’EDPB (European Data Protection Board – Comitato europeo per la protezione dei dati), sulle sanzioni comminate per le violazioni del GDPR.
Le nuove regole sono state proposte dai Garanti privacy europei, in aggiornamento rispetto alle precedenti. L’obiettivo è quello di armonizzare le modalità di calcolo delle sanzioni amministrative, per evitare disparità di trattamento tra un Paese europeo e l’altro.
Le fasi per il calcolo
Il Garante della Privacy fa sapere, sul proprio sito, che le nuove modalità di calcolo proposte sono suddivise in cinque fasi:
- se il caso in questione riguarda uno o più casi di condotta sanzionabile e se la condotta abbia portato a una o più violazioni;
- si individua un punto di partenza (quantificabile) per il calcolo della sanzione, tenendo in considerazione la classificazione delle violazioni in base alla loro natura, la gravità della violazione e il fatturato dell’impresa;
- vengono valutati i fattori aggravanti o attenuanti che possono aumentare o diminuire l’importo della sanzione pecuniaria, sulla base di criteri interpretativi armonizzati;
- viene definito il valore massimo della sanzione, in base alle disposizioni del GDPR, in modo da garantire che tali importi non vengano superati;
- viene infine analizzato se l’importo ipotizzato per la sanzione soddisfa i requisiti di efficacia, dissuasività e proporzionalità previsti dal Regolamento europeo per la tutela dei dati personali. Ad esempio, se la sanzione comminata a una grande multinazionale fosse di valore troppo basso, uguale a quella proposta per una piccola impresa, l’effetto deterrente della sanzione stessa verrebbe vanificato dalla sua scarsa capacità di incidere sul bilancio aziendale. Al tempo stesso, è necessario distinguere i soggetti che hanno commesso un solo errore da quelli che invece continuano imperterriti a violare le norme a tutela dei dati personali degli interessati, come a volte accade nel telemarketing o in altri settori.
Al termine della consultazione pubblica i Garanti privacy Ue procederanno alla stesura della versione finale delle nuove “linee guida sul calcolo delle sanzioni amministrative”, in seno all’EDPB.