linee-guida-edpb-sanzioni-GDPR

Garantire l’effettivo rispetto di una norma richiede, chiaramente, anche la previsione di una serie di sanzioni atte a punirne le violazioni, e su questo il GDPR non fa eccezione: l’articolo 83 individua, infatti, i criteri di applicazione di sanzioni amministrative pecuniarie.

Per arrivare a determinare preventivamente il valore della sanzione in cui si potrebbe incorrere, l’EDPB ha presentato delle linee guida che offrono in tal senso una metodologia chiara e condivisa a livello europeo, che prevede una serie di valutazioni:

  1. Comprendere se si tratta di una singola violazione o di più condotte illecite, e individuare quali disposizioni del Regolamento vengono violate.
  2. Individuare la sanzione determinandone il livello di partenza in ragione della gravità della violazione, applicando i criteri previsti dal GDPR, considerando cioè le categorie di dati interessati, la natura e gravità, il carattere doloso o colposo, etc.
  3. Valutare la presenza di eventuali circostanze aggravanti o attenuanti.
  4. Identificare i massimali previsti dalla normativa per la sanzione considerata.
  5. Verificare il rispetto dei requisiti di efficacia, proporzionalità e dissuasività.

Con le succitate linee guida, Titolari e Responsabili potranno acquisire maggiore consapevolezza nella modulazione delle sanzioni amministrative pecuniarie a loro irrogate. Ad oggi, difatti, l’art. 83 del GDPR indica una generica previsione di sanzioni pecuniarie che possono arrivare sino a 10.000 o 20.000 euro (a seconda della condotta sanzionata) o, per le imprese, sino al 2% o 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (art. 83, par. 4, 5).

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!