Garante Privacy danese: il modello di calcolo della sanzione amministrativa pecuniaria

Premesse. L’Unione Europea ha attuato, mediante l’entrata in vigore (e poi diretta applicazione) del Regolamento UE n. 2016/679 (GDPR), una riforma globale della normativa sulla protezione dei dati personali, fondata su una serie di pilastri (e componenti) fondamentali, costituiti da norme coerenti, procedure semplificate, azioni coordinate, coinvolgimenti degli utenti, informazioni maggiormente trasparenti ed efficaci e, infine, rafforzamento dei poteri delle Autorità di Controllo volti al rispetto delle norme, grazie alla possibilità di applicare le sanzioni amministrative pecuniarie ex art. 83 del GDPR, le restanti misure disciplinate all’art. 58 paragrafo 2) del GDPR, oltre che, infine, quelle eventualmente individuate, a livello locale, ai sensi degli artt. 58 paragrafo 6) e 83 paragrafo 9) del GDPR.

Con specifico riguardo al tema delle sanzioni amministrative pecuniarie, il Garante Privacy Danese (Datatilsynet) ha pubblicato, in data 29.1.2021, una guida che mira ad offrire un quadro di maggior trasparenza circa le modalità di determinazione di tali sanzioni monetarie, grazie alla loro classificazione (di base) rispetto alle (potenziali) condotte illecite suddivise in sei differenti cluster, suscettibili di un fisiologico processo di adeguamento a seguito della valutazione delle specifiche circostanze, tenuto conto della natura, della gravità nonché della durata della violazione oggetto di analisi.

Il modello di calcolo della sanzione amministrativa pecuniaria. Ai fini di una agevole comprensione della metodologia di specie, l’Authority danese ha voluto, innanzitutto, fornire un (seppur sintetico) quadro generale di tale modello di calcolo, composto dai seguenti criteri: i) individuazione dell’importo di base dell’ammenda, in ragione della tipologia dell’infrazione (la quale, peraltro, riflette la sua gravità), suddivisa, come anticipato, in sei differenti categorie; ii) adeguamento della (potenziale) sanzione alla luce della natura, gravità e durata della specifica condotta illecita; iii) in via eventuale, aumento o diminuzione dell’ammenda amministrativa, a seguito della sussistenza (o meno) di circostanze attenuanti e/o aggravanti; iv) individuazione dell’importo finale della sanzione, eventualmente rimodulato a seguito della valutazione della capacità economica (e solvibilità) dell’impresa assoggettata ad essa.

Tanto premesso, occorre ora illustrare il primo criterio di calcolo, il quale, come già anticipato, si fonda sulla classificazione delle infrazioni in sei differenti categorie: tale suddivisione ha tenuto conto della gravità delle disposizioni, della loro collocazione all’interno del GDPR e, non da ultimo, degli obiettivi sottostanti che esse mirano a proteggere (con particolare focus ai diritti dei soggetti interessati, ed alla libera circolazione dei dati personali all’interno del SEE).

A tal riguardo, è stato precisato che la determinazione dell’importo di base per ciascuna categoria riflette, in linea di principio, i criteri di effettività, di proporzionalità e di dissuasività dell’ammenda in caso di violazione di una o più regole: in modo particolare, è considerato efficace dato che è idoneo a garantire il rispetto del GDPR, si presume proporzionato nel senso che riflette, in modo adeguato, la natura dell’infrazione e, infine, si ritiene dissuasivo giacché mira ad impedire all’autore di ripetere la condotta illecita e, di riflesso, di scoraggiare gli altri a porre in essere un simile comportamento.

Entrando nel dettaglio, si nota come l’art. 83 paragrafi 4) e 5) del GDPR sia stato, appunto, suddiviso rispettivamente in tre differenti (sotto) categorie, così composte:

– 83 paragrafo 4) del GDPR: Nomina di un rappresentante (art. 27); Cooperazione con il Garante Privacy (art. 31); Trattamento che non richiede l’identificazione del soggetto interessato (art. 11); Registro delle attività del trattamento (art. 30); Notifica di una violazione dei dati personali (art. 33); Designazione di un Responsabile della protezione dei dati personali (art. 37); Consenso del soggetto minorenne (art. 8); Principio di privacy by design e by default (art. 25); Co-Titolarità del trattamento (art. 26); Contratto con il Responsabile del trattamento (art. 28); Trattamento eseguito sotto l’autorità del Titolare del trattamento o del Responsabile del trattamento (art. 29); Misure di sicurezza tecniche ed organizzative (art. 32); Comunicazione della violazione dei dati personali (art. 34); Valutazione d’Impatto sulla protezione dei dati (art. 35) ed eventuale consultazione preventiva (art. 36); Codici di condotta (art. 41); Certificazioni (artt. 42 e 43).

– 83 paragrafo 5) del GDPR: Obbligo di notifica in caso di rettifica o di cancellazione dei dati personali o limitazione del trattamento (art. 19); Diritto alla portabilità (art. 20); Principi applicabili al trattamento dei dati personali (art. 5); Condizioni per il consenso (art. 7); Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato (art. 12); Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato (art. 13); Liceità del trattamento (art. 6); Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato (art. 14); Diritto di accesso dell’interessato (art. 15); Diritti di rettifica (art. 16); Diritto di cancellazione (art. 17); Diritto di limitazione del trattamento (art. 18); Diritto di opposizione (art. 21); Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione (art. 22); Trattamento di categorie particolari di dati personali (art. 9); Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali (artt. 44 – 49).

Una volta determinata la sanzione massima nel singolo caso[1], il relativo importo di base (standard) dell’ammenda può essere fissato secondo il rispetto dei seguenti parametri economici: i) 5% per le violazioni delle categorie 1) e 4); ii) 10% per le infrazioni delle categorie 2) e 5); iii) 20% per le violazioni delle categorie 3) e 6).

A tal riguardo, è stato, tuttavia, aggiunto che, al fine di evitare una distorsione nel modo in cui le ammende colpiscono le società dotate di una differente dimensione, i sopra descritti importi standard possono essere, di conseguenza, adeguati al ribasso in ragione dell’effettiva grandezza dell’azienda interessata[2], secondo il seguente criterio di calcolo[3]: i) micro imprese: sino allo 0,4% dell’importo di base standard; ii) piccole imprese: fino al 2% dell’importo standard; iii) aziende di medie dimensioni: sino al 10% dell’importo di base standard.

Dopo che l’importo di base è stato determinato, esso deve, dunque, essere adeguato in base alle circostanze specifiche che consistono nella natura, nella gravità e nella durata dell’infrazione, con particolare focus sulla portata e tipologia della finalità del trattamento, sul numero dei soggetti interessati coinvolti nonché, infine, sull’entità del danno subito da questi ultimi, in ragione della violazione posta in essere.

A tal fine, occorre verificare la sussistenza dei seguenti aspetti: i) estensione (locale, nazionale o transfrontaliera) del trattamento; ii) finalità del trattamento, rientrante (o meno) nel core business dell’impresa; iii) numero dei soggetti interessati coinvolti effettivamente (ma anche potenzialmente) dall’attività illecita; iv) entità del danno effettivo, potenziale, diretto ed indiretto; v) durata della violazione, da intendersi in una duplice accezione, consistente sul periodo temporale di permanenza del rischio in capo ai soggetti interessati coinvolti e sulla durata della consapevolezza di essa in capo al Titolare (o al Responsabile) del trattamento.

Una volta che l’importo di base è stato determinato in ragione della classificazione dell’infrazione e delle dimensioni della relativa impresa, e una volta che esso è stato, poi, adeguato sulla base della natura, della gravità e della durata dell’infrazione, la sanzione deve essere, di conseguenza, (eventualmente) adeguata a seguito dell’analisi delle circostanze attenuanti e/o aggravanti previste dall’art. 83 paragrafo 2) del GDPR (poi meglio specificate nelle Linee Guida n. 253/2017 del WP Art. 29), da leggersi – con esclusivo riguardo all’ambito italiano – unitamente alla Legge n. 689 del 24.11.1981.

Infine, nella determinazione (finale) della sanzione deve essere tenuto in debita considerazione il principio secondo cui all’autore di un illecito che ha determinato la violazione di più disposizioni di legge con il medesimo atto (o con più atti) deve essere applicata un’ammenda che non può mai superare il massimale più elevato e più ingente previsto ex lege, e, infine, bisogna considerare, ove richiesto e laddove sussistano compravate circostanze eccezionali, l’eventuale applicazione di un pagamento rateale (o, comunque, differito) della sanzione ovvero la riduzione della stessa, nel caso in cui vi siano oggettivi elementi che dimostrano o inducono a pensare che l’eventuale applicazione di una sanzione di tal misura possa comportare la compromissione (anche definitiva) della capacità economica dell’impresa in esame.

[1] L’art. 83 paragrafi 4) e 5) del GDPR ha previsto un massimale “statico” di 10/20 milioni di euro, ed un massimale “dinamico” pari al 2/4 % del fatturato mondiale annuo relativo all’esercizio precedente, da intendersi, invero, quale fatturato netto, così definito dall’art. 2 n. 5) della Direttiva n. 2013/34/UE (“ricavi netti delle vendite e delle prestazioni”: “gli importi provenienti dalla vendita di prodotti e dalla prestazione di servizi, dopo aver dedotto gli sconti concessi sulle vendite, l’imposta sul valore aggiunto e le altre imposte direttamente connesse con i ricavi delle vendite e delle prestazioni”).

[2] A tal riguardo, la Commissione UE ha individuato una definizione di micro impresa (azienda con meno di 10 occupati e che realizza un fatturato annuo oppure un totale di bilancio annuo non superiore a 2 milioni di euro), di piccola impresa (azienda con meno di 50 occupati e che realizza un fatturato annuo oppure un totale di bilancio annuo non superiore a 10 milioni di euro) e di media impresa (azienda con meno di 250 occupati e che realizza un fatturato annuo non superiore a 50 milioni di euro oppure un totale di bilancio annuo non superiore a 43 milioni di euro).

[3] Oltre alle dimensioni dell’impresa, il Garante Privacy danese ha precisato che è necessario verificare se la stessa, nonostante un fatturato relativamente ridotto, detenga una quota di mercato relativamente ampia.