Le nuove Linee Guida dell’EDPB sul calcolo delle sanzioni amministrative

In data 12 maggio 2022, l'European Data Protection Board (“EDPB”) ha adottato le Linee Guida 04/2022 sul calcolo delle sanzioni amministrative (le “Linee Guida”) al fine, inter alia, di armonizzare la metodologia utilizzata dalle autorità di protezione dei dati dei diversi Stati membri e di fornire una base chiara e trasparente per la determinazione delle sanzioni da parte delle stesse autorità.

Le Linee Guida integrano le precedenti linee guida sull'applicazione e la determinazione delle sanzioni amministrative pecuniarie ai fini del Regolamento 2016/679 (“GDPR”), adottate dal WP il 3 ottobre 2017 (WP253), aventi a oggetto l’individuazione delle circostanze in cui l’imposizione di una sanzione è da considerarsi uno strumento appropriato e un’interpretazione dei criteri di cui all’articolo 83 del GDPR. Pertanto, i due testi sono applicabili contemporaneamente e devono essere considerati complementari.

Le Linee Guida saranno sottoposte a consultazione pubblica per un periodo di 6 settimane. Dopo la consultazione pubblica, verrà adottata una versione finale delle stesse, tenendo conto dei feedback delle parti interessate, e includerà una tabella di riferimento con una serie di punti di partenza per il calcolo delle sanzioni, correlando la gravità di una violazione con il fatturato di un'impresa.

Calcolo dell’importo della sanzione e metodologia

Il calcolo dell'importo della sanzione è, infatti, a discrezione dell'autorità di controllo e deve avvenire nel rispetto delle norme previste dal GDPR. In particolare, il GDPR richiede che l'importo della sanzione sia effettivo, proporzionato e dissuasivo in ogni singolo caso (articolo 83, paragrafo 1, del GDPR). Inoltre, nel fissare l'importo della sanzione, le autorità di controllo devono tenere in debito conto un elenco di circostanze pertinenti la situazione specifica che si riferiscono alle caratteristiche della violazione (quali, la sua natura, gravità e durata; il carattere doloso o colposo; le categorie di dati personali interessate) o del carattere dell'autore (quali, il grado di responsabilità; eventuali precedenti violazioni commesse dallo stesso; il grado di cooperazione con l’autorità di controllo) (articolo 83, paragrafo 2, del GDPR). Infine, l'importo della sanzione non può superare i massimali previsti dall'articolo 83, paragrafi 4, 5 e 6, del GDPR – che in ragione delle violazioni commesse – sono individuati in un importo fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, o fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

La quantificazione dell'importo della sanzione si basa, quindi, su una valutazione specifica effettuata in ciascun caso, all'interno dei parametri previsti dal GDPR. Infatti, come altresì precisato nelle Linee Guida, sebbene l’obiettivo sia quello di creare punti di partenza armonizzati che consentano di sviluppare un orientamento comune, il contenuto delle Linee Guida non può essere specifico al punto di consentire a titolari/responsabili di effettuare un calcolo matematico dell’eventuale importo della sanzione, in quanto l’importo finale della sanzione dipenderà sempre dalle circostanze del singolo casa concreto.

Le Linee Guida includono, quindi, i "punti di partenza" armonizzati per il calcolo di una sanzione. In particolare, vengono presi in considerazione tre elementi: la categorizzazione delle violazioni in base alla natura della violazione, la gravità della stessa e il fatturato di un'impresa.

Inoltre, alla luce di quanto previsto dal GDPR, l’EDPB ha sviluppato una metodologia di calcolo che si suddivide in 5 fasi:

1. in primo luogo, l’Autorità di controllo di volta in volta competente deve stabilire se il caso in questione riguarda uno o più casi di condotta sanzionabile e se questi hanno comportato a una o più violazioni. Nel dettaglio, occorre quindi identificare le operazioni di trattamento nel caso specifico valutando l’applicazione dell’articolo 83, paragrafo 3 del GDPR. Lo scopo è quello di chiarire se tutte le violazioni o solo alcune di esse possono essere sanzionate;
2. in secondo luogo, l’Autorità di controllo deve basarsi su un punto di partenza per il calcolo della sanzione per il quale l'EDPB fornisce un metodo armonizzato. In particolare, i punti di partenza vanno individuati sulla base di una valutazione:
   • del tipo di violazione da ricondurre nelle ipotesi di cui all’articolo 83, paragrafi 4, 5 o 6 del GDPR;
   • della gravità della violazione ai sensi dell’articolo 83, paragrafo 2, lettere a), b) e g) del GDPR;
   • del fatturato dell’impresa quale uno degli elementi da tenere in considerazione al fine di imporre una sanzione che sia effettiva, proporzionata e dissuasiva, ai sensi dell’articolo 83, paragrafo 1 del GDPR
3. in terzo luogo, l’Autorità di controllo deve considerare i fattori aggravanti o attenuanti che possono aumentare o diminuire l'importo della sanzione (quali, le azioni intraprese dal titolare/responsabile per attenuare il danno subito dagli interessati; il grado di responsabilità; precedenti violazioni, etc.), per i quali l'EDPB fornisce un'interpretazione coerente con le precedenti linee guida del Working Party;
4. la quarta fase consiste nel determinare i massimali legali delle sanzioni, come stabilito dall’articolo 83, paragrafi 4, 5 o 6 del GDPR e garantire che tali importi non vengano superati;
5. nella quinta e ultima fase, l’autorità di controllo competente deve di volta in volta analizzare se l'importo finale calcolato soddisfi i requisiti di effettività, proporzionalità e dissuasività e o se siano necessari ulteriori adeguamenti dell'importo.

All’interno delle Linee Guida ad ogni fase sopra richiamata viene dedicato uno specifico capitolo volto a fornire maggiori chiarimenti in merito all’analisi da svolgere, fornendo altresì esempi pratici.

Nozione di impresa e determinazione del fatturato

Nell’ambito dell’analisi della fase 4 della metodologia sviluppata, il capitolo 6 delle Linee Guida (“Legal maximum and corporate liability”) si sofferma anche sulla nozione di impresa e sulla determinazione del fatturato.

Il GDPR fornisce indicazioni in merito alla nozione di impresa ai fini della determinazione delle sanzioni. In particolare, il considerando 150 del GDPR afferma che “[…]. Se le sanzioni amministrative sono inflitte a imprese, le imprese dovrebbero essere intese quali definite agli articoli 101 e 102 del Trattato sul Funzionamento dell’Unione europea (“TFUE”) a tali fini”.

Pertanto, l’articolo 83, paragrafi 4, 5 e 6 si basa sul concetto di impresa di cui agli articoli 101 e 102 del TFUE, fatti salvi l'articolo 4, paragrafo 18, del GDPR (che fornisce una definizione di impresa) e l'articolo 4, paragrafo 19, del GDPR (che definisce la definizione di gruppo di imprese). Il primo concetto di impresa viene per lo più utilizzato nel Capitolo V del GDPR nella frase gruppo di imprese impegnate in un'attività economica comune. Inoltre, il termine è applicato in senso generale, non come destinatario di una disposizione o di un obbligo.

Di conseguenza, nei casi in cui il titolare/responsabile sia (parte di) un'impresa ai sensi degli articoli 101 e 102 del TFUE, come indicato nelle Linee Guida, il fatturato combinato di tale impresa nel suo complesso può essere utilizzato per determinare il limite massimo dinamico della sanzione e per garantire che la sanzione derivante sia in linea con i principi di effettività, proporzionalità e dissuasività di cui al GDPR.

Sul punto, anche le precedenti linee guida del Working Party prevedevano che “[a]l fine di irrogare sanzioni amministrative che siano effettive, proporzionate e dissuasive, l’autorità di controllo deve rifarsi alla definizione della nozione di impresa fornita dalla Corte di giustizia dell’Unione europea (“CGUE”) ai fini dell’applicazione degli articoli 101 e 102 TFUE, secondo cui il concetto di impresa va inteso come un’unità economica che può essere composta dall’impresa madre e da tutte le filiali coinvolte. Conformemente al diritto e alla giurisprudenza dell’UE, un’impresa deve essere intesa quale unità economica che intraprende attività economiche/commerciali, a prescindere dalla persona giuridica implicata”.

Dall’analisi delle sentenze della CGUE più rilevanti sul punto, emerge che la nozione di impresa ai sensi degli artt. 101 e 102 del TFUE, dev’essere intesa nel senso che essa si riferisce ad un’unità economica, anche qualora, sotto il profilo giuridico, tale unità economica sia costituita da più persone, fisiche o giuridiche. L’esistenza di un’unità economica può essere quindi dedotta da un complesso di elementi concordanti ancorché nessuno di tali elementi, isolatamente considerato, sia sufficiente per dimostrare l’esistenza di tale unità. Infatti, sebbene il concetto di impresa ai sensi del diritto europeo della concorrenza abbia una portata più ampia del concetto di impresa civilistico, la sussistenza di “un’unità economica” deve essere comunque valutata in considerazione dei legami economici, giuridici e organizzativi tra le società del gruppo che caratterizzano il caso di specie (quali, a titolo esemplificativo, l'ammontare della partecipazione, i legami personali o organizzativi, le istruzioni e l'esistenza di contratti infragruppo)[1].

Quanto alla determinazione del fatturato, lo stesso deve essere ricavato dal bilancio annuale di un'impresa, redatto con riferimento all'esercizio commerciale e in grado di fornire una panoramica dell'esercizio passato di una società o di un gruppo di società (bilanci consolidati). Il fatturato è definito come la somma di tutti i beni e servizi venduti. Il termine fatturato ai sensi dell'articolo 83, paragrafi 4 e 5, del GDPR deve essere inteso in termini di fatturato netto ai sensi della direttiva 2013/34/UE60.

L'articolo 83, paragrafi 4-6, del GDPR stabilisce che deve essere utilizzato il fatturato mondiale totale annuo dell'esercizio finanziario precedente. Per quanto riguarda il tema di quale sia l'evento a cui si riferisce il termine "precedente", la giurisprudenza della CGUE in materia di diritto della concorrenza deve essere applicata anche per le sanzioni previste dal GDPR, in modo che l'evento rilevante sia la decisione di irrogare la sanzione emessa dall'autorità di controllo e non il momento della violazione o la decisione del tribunale. In caso di trattamento transfrontaliero, la decisione rilevante non è il progetto di decisione, ma piuttosto la decisione finale emessa dall'autorità di controllo capofila ai fini della determinazione della sanzione.

Conclusioni

Posto che le Linee Guida discusse nel presente contributo sono ancora soggette alla fase di consultazione pubblica che durerà 6 settimane (decorse dalla data della loro pubblicazione), le stesse sono utili al fine di fornire maggior chiarezza sia per le autorità di controllo nell’esercizio dei loro poteri sanzionatori sia per tutti gli operatori economici tenuti al rispetto della normativa in materia di protezione dati personali.

Infatti, il tema della determinazione delle sanzioni pecuniarie presenta, ad oggi, alcune zone grigie che lasciano spazio a dubbi interpretativi, in primis e inter alia, quanto all’individuazione dell’impresa da sanzionare, qualora tale impresa operi nell’ambito di un gruppo imprenditoriale, e quindi all’individuazione del fatturato in base al quale determinare l’importo della sanzione.

Sul punto è possibile, infatti, ricordare alcuni provvedimenti sanzionatori del Garante Privacy italiano emessi nei confronti di importanti operatori italiani nell’ambito delle telecomunicazioni e dell’energia. Ferma l’analisi di cui sopra – e tenuto conto che il testo delle recenti Linee Guida risulta in linea con il testo delle precedenti adottate dal Working Party nel 2017 e con la giurisprudenza consolidata della CGUE – in tali casi, il Garante Privacy ha concluso per la determinazione di sanzioni di importi più bassi in ragione proprio dell’individuazione della base di calcolo non nel fatturato del gruppo quanto nel fatturato della singola impresa.

In particolare, nel provvedimento emesso nei confronti di TIM S.p.A., (l’analisi del provvedimento è disponibile sul sito dell’Osservatorio Data Protection al seguente link), il Garante ha mitigato il carico sanzionatorio nei confronti della società determinando l’importo della sanzione anche alla luce dei criteri di effettività, proporzionalità e dissuasività di cui al GDPR.

In ragione di ciò, ha chiarito che “in una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa e in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati vari criteri, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società. Pertanto si ritiene che - in base al complesso degli elementi sopra indicati, a fronte della sanzione edittale massima (556.058.923,00 euro, pari al 4% del fatturato di TIM, ossia 13.901.473.076 euro, e non del più elevato fatturato del gruppo Telecom) - debba applicarsi alla medesima Società la sanzione amministrativa del pagamento di una somma pari allo 0,2% del suindicato fatturato corrispondente a euro 27.802.946,00)”.

[1]Il punto 124 delle Linee Guida prevede che nel caso specifico in cui una società madre detenga il 100% o quasi delle azioni di una società controllata che ha violato l'articolo 83 del GDPR e sia quindi in grado di esercitare un'influenza decisiva sul comportamento della sua società controllata, si presume che la società madre eserciti effettivamente tale influenza decisiva sul comportamento della sua società controllata (la cosiddetta presunzione Akzo). Ciò vale anche se la società madre non detiene direttamente le quote del capitale totale, ma indirettamente attraverso una o più società controllate. Ad esempio, potrebbe esserci una catena di società controllate, in cui un'entità detiene il 100% o quasi delle azioni di un'entità intermedia che detiene il 100% o quasi delle azioni di un'altra entità, e così via. Anche una società madre potrebbe detenere il 100% o quasi delle azioni di due entità che detengono ciascuna circa il 50% di un'entità, esercitando così un'influenza decisiva su tutte le entità. In tali circostanze, è sufficiente che l'autorità di vigilanza dimostri che la società controllata è direttamente o indirettamente posseduta interamente o quasi interamente dalla società madre per presumere - come regola di esperienza pratica - che la società madre eserciti un'influenza determinante.

Il punto 125 continua precisando che la presunzione di Akzo non è assoluta, ma può essere confutata da altre prove. Per confutare la presunzione, la/e società deve/devono fornire prove relative ai legami organizzativi, economici e giuridici tra la società controllata e la sua controllante che siano in grado di dimostrare che essa non costituisce una singola unità economica (“SUE”) nonostante detenga il 100% o quasi delle azioni. Per accertare se una società controllata agisce in modo autonomo, occorre tenere conto di tutti i fattori rilevanti relativi ai legami che legano la società controllata alla società madre, che possono variare da caso a caso e non possono quindi essere elencati in modo esaustivo.

Inoltre, come indicato nel punto 126, se, invece, la società madre non detiene la totalità o la quasi totalità del capitale, l'autorità di vigilanza deve dimostrare ulteriori elementi per giustificare l'esistenza di una SUE. In tal caso, l'autorità di vigilanza deve dimostrare non solo che la società madre ha la capacità di esercitare un'influenza decisiva sulla controllata, ma anche che l'ha effettivamente esercitata, in modo da poter intervenire in qualsiasi momento nella libertà di scelta della controllata e determinarne il comportamento. La natura o il tipo di istruzione è irrilevante nel determinare l'influenza della società madre.