Sanzioni privacy, anche in Italia servono linee guida per quantificarle | Agenda Digitale

GDPR

Sanzioni privacy, anche in Italia servono linee guida per quantificarle

Arrivano anche in Italia, comminate dal garante privacy, le prime sanzioni pecuniarie milionarie ai sensi dell’articolo 83 del GDPR. Servirebbero però delle Linee guida, come già hanno fatto i Garanti olandese e tedesco, ai fini del calcolo della multa, in nome della trasparenza e della prevedibilità

03 Feb 2020
Gianluigi Marino

Partner, Head of Data Protection practice, Osborne Clarke


La lettura delle due recenti sanzioni del Garante privacy nei confronti di Eni Gas e Luce e di TIM è foriera di innumerevoli spunti di discussione. E’ interessante, in particolare, soffermarsi su alcuni aspetti:

  • il registro linguistico utilizzato nei confronti delle due società (molto più pesante e critico, nella sanzione EGL);
  • gli insegnamenti (la maggior parte non nuovi) relativi ai rapporti tra data controller e data processor nell’ambito del telemarketing/teleselling;
  • i tentativi delle società di far comprendere all’autorità le diverse sotto-categorie delle comunicazioni da parte dei call center (v. caring);
  • la quantificazione delle sanzioni.

La quantificazione della sanzione Gdpr

Mi vorrei soffermare proprio su questo ultimo punto; trovo infatti che non vi sia sufficiente trasparenza poiché non vi sono linee guida pubbliche condivise rispetto a tutti i fattori che concorrono a formare la sanzione finale.

Partiamo da un dato numerico. E’ più grave la sanzione da 8,5 milioni a EGL oppure quella di circa 27,8 milioni a TIM? Se avete risposto TIM poiché è il triplo di quella a EGL, considerate che il Garante ha applicato a EGL e TIM la stessa sanzione in percentuale rispetto al fatturato annuo: nel primo caso infatti si tratta di un importo “pari al 5% della sanzione massima edittale, arrotondato per difetto” mentre nei confronti di TIM si tratta di un ammontare “pari allo 0,2% del suindicato fatturato” dell’anno scorso. Il 5% del massimo edittale (cioè il 4% del fatturato mondiale totale annuo dell’esercizio precedente) equivale allo 0,2% del fatturato complessivo.

Quindi EGL e TIM hanno posto in essere condotte che hanno meritato una punizione, tirate le somme, identica. Ma come si arriva a decidere che la sanzione adeguata è lo 0,2% e non lo 0,3% o lo 0,1%?

La questione non è affatto secondaria. Non solo per questione di trasparenza, certezza del diritto, prevedibilità delle sanzione ma soprattutto perché uno zero virgola in più o in meno, in questi casi, significa milioni di euro.

Gdpr, sanzioni e responsabilità: tutto ciò che c’è da sapere

Cosa dicono le linee guida sulle sanzioni Gdpr

In ordine cronologico, le Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679 adottate il 3 ottobre 2017 (documento WP253) danno qualche indicazione su come maneggiare i criteri previsti dall’art. 83 comma 2 del GDPR ma non si spingono a dare indicazioni circa la quantificazione della sanzione. Il documento poi si chiudeva con queste parole: “La pratica di applicare sanzioni amministrative pecuniarie coerentemente all’interno dell’Unione europea è una pratica in via di evoluzione. Le autorità di controllo dovrebbero collaborare costantemente per aumentare tale coerenza, ad esempio tramite regolari scambi durante seminari sul trattamento dei casi o altri eventi che consentano di confrontare i casi a livello sub-nazionale, nazionale e transfrontaliero. Al fine di sostenere questa attività continuativa si raccomanda la creazione di un sottogruppo permanente annesso a una parte pertinente del comitato europeo per la protezione dei dati.”

Tradotto in poche parole, due anni fa circa i rappresentanti delle varie autorità di controllo si ripromettevano e raccomandavano di tenersi in contatto al fine di avere un approccio uniforme in tutta Europa.

Ma le cose non paiono essere andate così finora. Fughe in avanti su certi temi (per esempio sui cookie) sono state fatte da talune autorità. Ed è questo il caso anche circa la quantificazione delle sanzioni.

Le policy del Garante olandese

A marzo 2019, la Autoriteit Persoonsgegevens (“AP”), l’autorità di controllo olandese, ha pubblicato la propria policy relativa alla quantificazione delle sanzioni ai sensi del GDPR (qui in olandese). La struttura si basa su quattro diverse categorie di sanzioni a seconda della gravità della violazione. All’interno di queste categorie è stato previsto un ammontare minimo e uno massimo nonché un importo di sanzione base (che consiste nel minimo aumentato della metà della differenza tra minimo e massimo).

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

Categoria I: sanzione tra 0 e 200.000 euro– Sanzione base: 100.000 euro

Categoria II: sanzione tra 120.000 e 500.000 euro– Sanzione base: 310.000 euro

Categoria III: sanzione tra 300.000 e 750.000 euro– Sanzione base: 525.000 euro

Categoria IV: sanzione tra 450.000 e 1.000.000 euro– Sanzione base:  725.000 euro

La sanzione base viene poi modulata in positivo e in negativo sulla base di numerosi elementi:

  • la gravità e la durata dell’infrazione;
  • le finalità del trattamento;
  • le categorie di dati e il numero di interessati colpiti;
  • l’entità del danno subito e le misure adottate per limitare il danno;
  • la natura intenzionale o negligente dell’infrazione;
  • precedenti violazioni pertinenti;
  • la misura in cui vi è stata cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e limitare le sue possibili conseguenze negative; e
  • qualsiasi altro fattore aggravante o attenuante applicabile alle circostanze del caso, come ad esempio gli utili finanziari realizzati o le perdite evitate, direttamente o indirettamente derivanti dalla violazione.

Sebbene gli importi individuati dalle quattro categorie determinate dall’AP siano sostanzialmente inferiori a quelli delle sanzioni massime ai sensi del GDPR, la policy olandese consente comunque all’autorità di imporre una sanzione fino al massimo previsto determinato nel GDPR, ovviamente con motivazione.

Quasi un anno fa, si trattava del primo tentativo di dare maggiore trasparenza e prevedibilità agli enormi poteri sanzionatori di un’autorità di controllo in materia di protezione dei dati personali.

Il calcolo delle sanzioni secondo l’Autorità tedesca

A ottobre 2019 il Datenschutzkonferenz (“DSK”), l’organo che raduna le autorità di controllo tedesche ha posto in consultazione un documento (qui in tedesco) volto a calcolare le sanzioni in modo sistematico, trasparente e comprensibile. Il DSK ha indicato che questo modello è soggetto a modifiche e sarà sostituito da qualsiasi metodo proposto nelle linee guida che potrebbero essere emanate dal Comitato europeo per la protezione dei dati.

Il DSK propone un calcolo che si snoda in 5 fasi e che può essere riassunto nella seguente formula.

  • l’autorità di vigilanza inizia rivedendo il fatturato annuo dell’impresa nell’esercizio finanziario precedente per classificarlo in base alle sue dimensioni come impresa micro (A), piccola (B), media (C) o grande (D) e assegnarla a un sottogruppo specifico (ad esempio, A.II copre le microimprese con un fatturato compreso tra € 700.000 e € 1,4 milioni);
  • l’autorità di vigilanza determina il fatturato medio annuo del rispettivo sottogruppo (nell’esempio sopra, per un’impresa classificata come A.II, il fatturato medio assegnato sarebbe di € 1.050.000);
  • l’autorità di vigilanza divide il fatturato medio annuo del rispettivo sottogruppo per 365 per determinare il “valore economico di base dell’impresa” (nell’esempio sopra, il valore economico di base è di € 2.876);
  • il “valore economico di base” viene quindi moltiplicato per il valore della gravità dell’infrazione (minore, media, grave, molto grave) assegnato sulla base di una tabella
  • infine, l’importo ottenuto attraverso questa moltiplicazione viene adeguato alla luce di “altre circostanze non ancora prese in considerazione” (la proposta del DSK non è particolarmente specifica su questo punto).

Non si tratta di soluzioni perfette ma almeno sono tentativi pubblici per raggiungere e per aggiungere trasparenza a una procedura così delicata e potente.

Le linee guida Agcm in Italia

Tornando invece ai nostri lidi, in Italia l’AGCM si è da tempo dotata di Linee Guida sulla modalità di applicazione dei criteri di quantificazione delle sanzioni amministrative pecuniarie (disponibili qui) e sarebbe auspicabile che anche il Garante consideri di compiere uno sforzo di questo tipo.

Ove invece il Garante non scelga la via intrapresa dagli olandesi e dai tedeschi, si spera che sia dovuto al fatto che line guida europee sono in imminente uscita. Lo sono?

Conclusioni

E’ evidente che si tratta di questioni complesse, ma uno sforzo verso una maggiore trasparenza, sistematicità e prevedibilità dovrebbe essere fatto e il Garante dovrebbe considerare di rendere pubblica una linea guida, una formula, una matrice da utilizzare ai fini del calcolo delle sanzioni. La sede più ragionevole è quella europea per ovvie ragioni di omogeneità. D’altra parte, non sembra che un approccio unico europeo sia sempre una via facilmente o velocemente percorribile.

Una situazione come quella attuale rischia poi di creare un progressivo crescente numero di impugnazioni e di contenzioso avanti al giudice ordinario.

Inoltre sarà interessante vedere quanto questa situazione non perfettamente trasparente farà propendere le aziende verso il pagamento dell’oblazione in misura della metà della sanzione effettivamente irrogata (art. 166 comma 8 Codice Privacy).

A proposito di matrice, il Garante  ricorda un po’ Morpheus, del film Matrix

Pillola azzurra (oblazione), fine della storia: domani ti sveglierai in camera tua, e crederai a quello che vorrai. Pillola rossa (impugnazione), resti nel paese delle meraviglie, e vedrai quant’è profonda la tana del bianconiglio.

WHITEPAPER
Come è cambiato in Italia il quadro normativo dei pagamenti digitali verso la PA?

Chi sarà il primo Neo che prenderà la pillola rossa?

@RIPRODUZIONE RISERVATA

LinkedIn

Twitter

Whatsapp

Facebook

Link

Articolo 1 di 2