Indicazioni applicative emergenti sulla determinazione delle sanzioni per violazioni privacy

Un recente Provvedimento del Garante, il n. 306 del 23 maggio 2024 afferente un data breach nell’utilizzo della posta elettronica, consente di rilevare come nell’attività del Garante a tutela della riservatezza dei dati personali emergano criteri per parametrare gli interventi sanzionatori.

Su questa materia, l’EDPB con le Linee guida 4/2022 ha fornito criteri per l’applicazione delle sanzioni; tale documento è complementare alle Linee guida WP253 (LG253) che si soffermano sulle circostanze per la quali la sanzione amministrative possa essere uno strumento di rigore più appropriato rispetto alle altre misure di rigore a disposizione della Autorità Garanti.

Il processo delineato dalle Linee guida 4/2002 prevede vari step, tenendo conto dei criteri dell’art. 83 del GDPR quali: gravità della violazione; dimensione e natura del soggetto; presenza di aggravanti e attenuanti, effettività, proporzionalità e dissuasione.

Un punto che l’EDPB, sulla base del GDPR, rimanda – per alcuni aspetti alle Autorità di controllo, per altri ai singoli Stati - è quello delle sanzioni per le entità pubbliche, fra cui la possibilità di tarare l’importo delle sanzioni per tali entità, ove previste dagli ordinamenti in relazione alla loro dimensione.

Su tale aspetto rileva in generale il punto 10 delle Linee guida 4/2022 e in particolare, la sezione 4.3 afferente alla irrogazione di una sanzione pecuniaria effettiva, dissuasiva e proporzionata in funzione del fatturato delle organizzazioni interessate. Tale sezione 4.3 è riferita elettivamente alle organizzazioni private, peraltro l’EDPB afferma che “Le autorità di controllo rimangono comunque libere di applicare una metodologia simile a quella descritta in tale sezione”.

Per completezza, si rammenta che il capitolo sul “Limite massimo di legge e responsabilità delle imprese” non è applicabile al calcolo delle sanzioni pecuniarie da infliggere a entità pubbliche nel caso in cui l'ordinamento nazionale preveda limiti massimi di legge diversi e l'autorità pubblica o l'organismo pubblico non agisca come impresa.

Alcune indicazioni di interesse

Ad oggi sia il Provvedimento 306/2024 sia altri Provvedimenti del Garante permettono di rilevare alcune interessanti indicazioni in merito al percorso definitorio del dimensionamento delle sanzioni:

- In alcuni Provvedimenti, infatti, si menziona la tabella 1 del Manuale ENISA WP2017 0- 2-2-5 circa la misurazione dell’impatto di una violazione privacy, come nel Provvedimento n. 500 del 26 ottobre 2023;
- In altri, inerenti a soggetti pubblici, il punto 60 delle predette Linee guida 4/2022, afferente al calcolo dell’”importo iniziale adeguato” per la sanzione in relazione al livello (basso, medio o alto) da considerare poi per la determinazione finale ai sensi del punto 43, come nel Provvedimento n. 235 dell’11 aprile 2024;
- In altri ancora, come nel citato Provvedimento n. 306/2024 e in quello n. 500 del 26 ottobre 2023, entrambe tali disposizioni.

Dal consolidamento nel tempo di questi pronunciamenti – fatta salva nel frattempo la formalizzazione e pubblicizzazione della metodologia ventilata dall’EDPB - sarà possibile trarre delle linee orientative sulla procedura sanzionatoria, a beneficio di tutti i soggetti dell’ecosistema privacy. Una particolarità che sembra emergere è quella della applicazione (sebbene a livello fattuale) dei fattori di dimensionamento delle sanzioni del paragrafo 43 delle ripetute Linee guida 4/2022 anche al settore pubblico oltre che a quello privato (cfr ad esempio l’importo della sanzione di cui al Provvedimento 235/2024).

Con riguardo alle indicazioni ENISA va per completezza indicato che il Garante italiano evidenzia:

- ad es. nel Provvedimento n. 197 del 17 maggio 2023, che per il calcolo della gravità dell’evento ha anche fatto riferimento alle Raccomandazioni ENISA del 2013 “for a methodology of the assessment of severity of personal data breaches”;
- di aver collaborato alla elaborazione dello strumento strumento che ENISA ha messo a disposizione per la valutazione del rischio sicurezza.

In conclusione, il percorso verso una procedura per la gestione delle violazioni del GDPR e del Codice privacy sta proseguendo e ciò consentirà a tutti gli operatori del settore poter apprezzare la portata delle violazioni sia a fini di ottimale gestione anche del rischio privacy, nell’ambito del più generale risk management e anche nel settore pubblico.

Questo dovrebbe avvenire non solo nel senso (deteriore) di valutare il rischio di una eventuale non compliance a fronte dei vantaggi per i propri business, ma di valorizzare il plus di fiducia e reputazionale che riviene dalla minimizzazione dei rischi per gli interessati. Che poi, non va dimenticato, potranno sempre ricercare in sede civile un risarcimento per la lesione alla propia riservatezza che ritenessero di aver subito.

Articolo di Pasquale Mancino, Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione