Come sono calcolate le sanzioni in caso di violazioni al GDPR?

Al timore di subire una sanzione privacy non si accompagna tipicamente la previsione del quantum della possibile ammenda.

Basti pensare che la sanzione, per cui non è previsto un minimo edittale, a seconda del tipo di violazione può arrivare a un massimo di 10 o 20 milioni di euro o al 2% o 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore.

In concreto, il calcolo dell'importo della sanzione è a discrezione dell'autorità di controllo (in Italia il Garante Privacy), ovviamente nel rispetto delle norme previste dal Reg. UE 679/2016 GDPR.

Tuttavia, l’assenza di punti di partenza armonizzati come orientamento comune, sulla base dei quali calcolare le ammende amministrative nei singoli casi, impedisce un'applicazione e un'esecuzione coerenti del GDPR sul piano sanzionatorio.

Per questa ragione, il Comitato Europeo per la protezione dei dati (EDPB) ha adottato le Linee guida n. 4/2022 (in consultazione fino al 27/6/2022) con lo scopo di armonizzare la metodologia utilizzata dalle autorità nazionali per il calcolo delle sanzioni in ipotesi di violazioni privacy.

Conoscere il metodo usato per il calcolo delle sanzioni può essere utile per Titolari e Responsabili del trattamento per capire quali aspetti sono maggiormente considerati dalle autorità e, quindi, valutare l’effettivo rischio cui le loro violazioni della normativa sui dati personali li espongono.

Le Linee guida indicano una metodologia in 5 punti.