LE LINEE GUIDA 04/2022 ADOTTATE DALL’ EDBP.
Il 12 maggio 2022 il Comitato Europeo per la protezione dei dati ha adottato le Linee Guida 04/2022 che hanno l’obiettivo di armonizzazione le metodologie di calcolo delle sanzioni amministrative pecuniarie connesse alle violazioni del Regolamento UE 2016/679 sulla protezione dei dati personali (GDPR) all’interno dell’area UE.
Secondo i criteri delle nuove linee guida, il calcolo dell’importo della sanzione è a discrezione dell’autorità di vigilanza, nel rispetto delle norme previste dal GDPR. Gli importi delle sanzioni, in generale, sono indicati dai commi 4, 5 e 6 dell’art. 83 del GDPR e variano da 10-20 milioni di euro al 2-4% del fatturato mondiale totale annuo, a seconda delle caratteristiche della violazione.
Il GDPR, all’art. 83, comma 1, prevede che le sanzioni amministrative pecuniarie siano efficaci, dissuasive e proporzionate. Il Regolamento prevede, altresì, che nel fissare l’ammontare della sanzione, è importante tenere conto delle caratteristiche della violazione, della sua gravità e delle caratteristiche dell’autore che ha commesso la violazione.
L’EDPB individua cinque passaggi chiave per calcolare in maniera adeguata le sanzioni per le violazioni del GDPR:
- l’identificazione delle operazioni di trattamento del caso specifico, con valutazione dell’applicazione dell’articolo 83, paragrafo 3, del GDPR;
- l’individuazione del punto di partenza per calcolare l’importo dell’ammenda;
- la valutazione delle circostanze attenuanti o aggravanti che possono aumentare o diminuire l’importo della sanzione;
- l’identificazione dei massimali previsti dalla legge per le diverse violazioni e la garanzia che tali importi non vengano superati;
- l’analisi per valutare se l’importo stabilito soddisfi i requisiti di efficacia, dissuasione e proporzionalità.
Le presenti Linee Guida rimarranno in consultazione pubblica fino al 27 maggio 2022, data in cui potranno pervenire eventuali commenti allo European Data Protection Board.