Quanto “costa” violare il GDPR?

Garantire l’effettivo rispetto di una norma richiede, chiaramente, anche la previsione di una serie di sanzioni atte a punirne le violazioni, e su questo il GDPR non fa eccezione: l’articolo 83 individua, infatti, i criteri di applicazione di sanzioni amministrative pecuniarie.

Per arrivare a determinare preventivamente il valore della sanzione in cui si potrebbe incorrere, l’EDPB ha presentato delle linee guida che offrono in tal senso una metodologia chiara e condivisa a livello europeo, che prevede una serie di valutazioni:

1. Comprendere se si tratta di una singola violazione o di più condotte illecite, e individuare quali disposizioni del Regolamento vengono violate.
2. Individuare la sanzione determinandone il livello di partenza in ragione della gravità della violazione, applicando i criteri previsti dal GDPR, considerando cioè le categorie di dati interessati, la natura e gravità, il carattere doloso o colposo, etc.
3. Valutare la presenza di eventuali circostanze aggravanti o attenuanti.
4. Identificare i massimali previsti dalla normativa per la sanzione considerata.
5. Verificare il rispetto dei requisiti di efficacia, proporzionalità e dissuasività.

Con le succitate linee guida, Titolari e Responsabili potranno acquisire maggiore consapevolezza nella modulazione delle sanzioni amministrative pecuniarie a loro irrogate. Ad oggi, difatti, l’art. 83 del GDPR indica una generica previsione di sanzioni pecuniarie che possono arrivare sino a 10.000 o 20.000 euro (a seconda della condotta sanzionata) o, per le imprese, sino al 2% o 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (art. 83, par. 4, 5).