NEWS

Dall'European Data Protection Board le Linee Guida 04/2022 con l'obiettivo di armonizzare le sanzioni per le violazioni del Gdpr

Il 12 maggio 2022 il Comitato europeo per la protezione dei dati ha adottato le Linee Guida 04/2022 che hanno l’obiettivo di armonizzazione le metodologie di calcolo delle sanzioni amministrative pecuniarie connesse alle violazioni del Regolamento UE 2016/679 sulla protezione dei dati personali (Gdpr) all’interno dell’area UE.

GDPR, come calcolare le sanzioni: arrivano le linee guida EDPB

Infatti, dall'entrata in vigore del Gdpr, alcune autorità europee si sono rivelate più severe nell'irrogare sanzioni, mentre altre hanno calcato meno la mano, e se in alcuni paesi è stato registrato un numero elevato di provvedimenti, invece in altri le multe comminate sono state pochissime, o addirittura nessuna.

Secondo i criteri delle nuove linee guida, il calcolo dell’importo della sanzione è a discrezione dell’autorità di controllo, nel rispetto delle norme previste dal GDPR.

In tal senso, rileva l’art. 83 comma 1 del Regolamento europeo, che prevede che le sanzioni amministrative pecuniarie inflitte siano in ogni singolo caso:

- effettive;
- proporzionate;
- dissuasive.

Inoltre, continua lo European Data Protection Board, nel fissare l’importo della sanzione, le autorità di vigilanza devono tenere in debita considerazione un elenco di circostanze che si riferiscono a gravità e caratteristiche della violazione o all’autore (articolo 83, paragrafo 2, del GDPR), e per quanto riguarda i massimali, si tengono fermi i limiti dell’importo delle sanzioni previsti dall’articolo 83, paragrafi 4, 5 e 6 del GDPR.

Le linee guida stabiliscono quindi una metodologia di calcolo in 5 fasi:

1. in primo luogo, le autorità per la protezione dei dati devono stabilire se il caso in questione riguarda uno o più casi di condotta sanzionabile e se questi hanno portato a una o più violazioni;
2. in secondo luogo, le autorità valutano la base di calcolo della sanzione secondo un modello armonizzato definito dal Comitato per la Protezione dei Dati
3. in terzo luogo, le autorità di controllo devono considerare i fattori aggravanti o attenuanti che possono aumentare o diminuire l’importo della sanzione;
4. la quarta fase consiste nel determinare i massimali legali delle ammende e garantire che tali importi non vengano superati;
5. nella quinta e ultima fase, le autorità devono analizzare se l’importo finale calcolato soddisfa i requisiti di effettività, proporzionalità e dissuasione o se sono necessari ulteriori adeguamenti dell’importo.

Le presenti linee guida integrano le precedenti Linee Guida WP253 sulle circostanze rilevanti per l’applicazione e la previsione delle sanzioni, e rimarranno in consultazione pubblica fino al 27 giugno 2022 con la possibilità di inviare i propri commenti allo European Data Protection Board.

Note Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: urp@federprivacy.org 

Prev La gestione efficace dei Data Breach passa anche attraverso il monitoraggio dei ‘segnali deboli’
Next La ISO/IEC 27701:2019: la lettura della norma sulla gestione della privacy attraverso le ricorrenze

Presentazione del volume Risposte Privacy - Roma, 24 giugno 2022

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy