L’ Information Commissioner’s Office (ICO) ha recentemente adottato delle nuove linee guida per il calcolo delle sanzioni, nel caso in cui le aziende violino le norme previste dal GDPR e dal Data Protection Act del 2018. Innanzitutto, va chiarito che ai fini dell’applicazione delle nuove disposizioni, si considera impresa, cosi’ come previsto dalla legge sulla concorrenza, una qualsiasi entita’ che svolge un’attivita’ economica. Nei casi in cui il responsabile del trattamento dei dati sia parte di un’azienda, la sanzione sara’ calcolata considerando l’azienda nel suo complesso.
L’articolo 83(2) del GDPR stabilisce i fattori rilevanti che l’ICO è tenuto a prendere in considerazione quando decide di imporre una sanzione amministrativa. Tali fattori includono la natura, la gravità e la durata della violazione, la condotta intenzionale o negligente, le azioni intraprese per mitigare il danno, le violazioni precedenti, il grado di cooperazione e le categorie di dati personali oggetto di violazione. Sul punto, le nuove linee guida specificano i fattori chiave da considerare per determinare l’importo della sanzione:
- La gravita’ della violazione;
- Qualsiasi fattore rilevante che abbia aggravato o mitigato la violazione;
- L’efficacia, la proporzionalita’ e la capacita’ deterrente della sanzione.
Se l’ICO ritiene che la violazione sia grave e’ molto probabile che sia emanata una multa (penalty notice), a meno che non vengano in rilievo dei fattori che abbiamo mitigato la violazione commessa. La sanzione sara’ tanto piu’ grave quando vi e’ stata una condotta intenzionale del responsabile o dell’incaricato del trattamento dei dati. Le violazioni contenute nell’art. 9 del GDPR sono di solito considerate gravi.
Sono invece considerati fattori idonei a mitigare il rischio di una sanzione, o dell’applicazione di una sanzione grave:
- Le azioni intraprese per mitigare il danno subito dagli interessati;
- Il grado di responsabilita’ del responsabile o dell’incaricato del trattamento;
- Violazioni precedenti rilevanti da parte del responsabile o dell’incaricato del trattamento;
- Il grado di cooperazione con l’ICO;
- Il modo in cui la violazione è diventata nota all’ICO;
- Misure precedentemente disposte contro il responsabile o l’incaricato del trattamento;
- Aderenza a codici di condotta o meccanismi di certificazione approvati; e
- Qualsiasi altro fattore aggravante o mitigante.
L’ICO prima di emettere una sanzione dovra’ valutare se la stessa e’ efficace e ha una capacita’ deterrente.
Per quanto riguarda il calco della sanzione, le linee guida forniscono maggiore trasparenza sul calcolo dell’importo della sanzione. Di regola, deve essere seguito questo schema e devono essere considerati questi fattori:
- Valutazione della gravita’ della sanzione;
- Fatturato dell’azienda;
- Misure adottate per mitigare i rischi
- Valutare se la multa e’ efficace, proporzionata e deterrente.
Le linee guida sottolineano che questo non è un processo meccanico; ogni caso sara’ valutato singolarmente e comportera’ anche un certo grado di discrezione