
Quanto “costa” violare il GDPR?
23 Maggio 2022
Garantire l’effettivo rispetto di una norma richiede, chiaramente, anche la previsione di una serie di sanzioni atte a punirne le violazioni, e su questo il GDPR non fa eccezione: l’articolo 83 individua, infatti, i criteri di applicazione di sanzioni amministrative pecuniarie.
Per arrivare a determinare preventivamente il valore della sanzione in cui si potrebbe incorrere, l’EDPB ha presentato delle linee guida che offrono in tal senso una metodologia chiara e condivisa a livello europeo, che prevede una serie di valutazioni:
- Comprendere se si tratta di una singola violazione o di più condotte illecite, e individuare quali disposizioni del Regolamento vengono violate.
- Individuare la sanzione determinandone il livello di partenza in ragione della gravità della violazione, applicando i criteri previsti dal GDPR, considerando cioè le categorie di dati interessati, la natura e gravità, il carattere doloso o colposo, etc.
- Valutare la presenza di eventuali circostanze aggravanti o attenuanti.
- Identificare i massimali previsti dalla normativa per la sanzione considerata.
- Verificare il rispetto dei requisiti di efficacia, proporzionalità e dissuasività.
Con le succitate linee guida, Titolari e Responsabili potranno acquisire maggiore consapevolezza nella modulazione delle sanzioni amministrative pecuniarie a loro irrogate. Ad oggi, difatti, l’art. 83 del GDPR indica una generica previsione di sanzioni pecuniarie che possono arrivare sino a 10.000 o 20.000 euro (a seconda della condotta sanzionata) o, per le imprese, sino al 2% o 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (art. 83, par. 4, 5).