Il GDPR precisa che ogni singola ipotesi di violazione delle disposizioni in esso sancite dovrà essere valutata singolarmente ai fini dell’applicazione delle sanzioni amministrative pecuniarie nel caso di specie.
A questo proposito, l’art. 83, paragrafo 2 stabilisce che: “Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi […]”. Segue un’elencazione delle circostanze che potranno incidere, appunto, sulla misura della sanzione che dovrà essere applicata, in modo da risultare adeguata e deterrente rispetto al contesto concreto in cui la violazione è stata realizzata.
Nel determinare la portata reale della sanzione si dovranno quindi tenere in debita considerazione:
- La natura, la gravità e la durata della violazione con riferimento anche alla natura, all’oggetto o alla finalità del trattamento in questione, nonché al numero di interessati lesi dal danno e al livello del danno da essi subito.
L’autorità di controllo potrà quindi ritenere, innanzitutto, che le circostanze specifiche nel caso concreto oggetto di valutazione non creino un rischio significativo per i diritti degli interessati; in quest’ultimo caso la sanzione potrà anche essere sostituita da un semplice ammonimento. Occorrerà poi valutare il numero di interessati coinvolti, al fine di verificare se si tratta di un evento isolato o, piuttosto, di una violazione sistematica, la finalità del trattamento, che dovrà essere indicata specificamente e alla quale l’utilizzo dei dati dovrà essere conforme, l’entità dell’eventuale danno cagionato agli interessati e, infine, la durata della violazione.
- Il carattere doloso o colposo della violazione. Con il concetto di “dolo” ci si riferisce, in generale, all’elemento soggettivo che qualifica una condotta posta in essere con la consapevolezza e l’intenzione di realizzare un determinato risultato illecito, mentre con il concetto di “colpa” si fa riferimento alla mancanza di consapevolezza e di intenzione dell’evento dannoso, dovuto piuttosto ad un mancato rispetto degli obblighi di diligenza stabiliti dalla legge. Una violazione dolosa è chiaramente più grave quella colposa, e di conseguenza potrà giustificare l’applicazione di una sanzione amministrativa pecuniaria.
- Le misure adottate dal titolare o dal responsabile del trattamento per attenuare il danno subito dagli interessati. I titolari e i responsabili del trattamento devono porre in essere le misure tecniche e organizzative necessarie al fine di garantire un livello di sicurezza dei dati oggetto di trattamento che sia adeguato al rischio, effettuare valutazioni d’impatto sulla protezione dei dati e mitigare i rischi per i diritti e le libertà personali che possono derivare dal trattamento dei dati personali. In aggiunta, qualora si verifichi una violazione delle disposizioni del Regolamento tale da provocare dei danni in capo all’interessato, il soggetto responsabile dovrebbe comunque attivarsi per ridurre le conseguenze negative a carico dei soggetti coinvolti. Un tale comportamento, o l’assenza dello stesso, verrà senz’altro valutato dall’autorità di controllo nella scelta della misura sanzionatoria da applicare nel caso specifico.
- Il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto anche delle misure tecniche e organizzative da essi messe in atto. In particolare, a questo proposito si dovrà valutare anzitutto se il titolare o responsabile del trattamento abbiano adottato misure tecniche rispettose dei principi della protezione dei dati fin dalla progettazione e per impostazione predefinita (privacy by design e by default), come previsto dall’art. 25, nonché misure di sicurezza adeguate al rischio come richiesto dall’art. 32.
- Eventuali precedenti violazioni delle prescrizioni in materia di protezione dei dati personali commesse dal titolare o dal responsabile del trattamento. Per quanto riguarda questo aspetto, le autorità di controllo dovranno tenere nella giusta considerazione ogni tipo di precedente violazione del regolamento, anche se di natura diversa da quella esaminata nel caso di specie. Tali elementi potrebbero infatti essere pertinenti ai fini della valutazione, perché potrebbero fornire delle utili indicazioni su eventuale insufficiente livello di conoscenza o di indifferenza nei confronti delle norme sancite dal Regolamento per la protezione dei dati.
- Il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione effettuata e attenuarne i possibili effetti negativi. Il GDPR non precisa, a questo proposito, in che modo l’autorità di controllo dovrà tenere conto degli sforzi dei titolari o dei responsabili del trattamento nel porre rimedio ad un’eventuale violazione già accertata. Tuttavia, nel decidere quale misura correttiva è la più adeguata nel singolo caso concreto, si dovrà prendere in considerazione anche l’eventuale attività del titolare o del responsabile del trattamento con cui siano state limitate, o addirittura annullate, le conseguenze negative a carico dei diritti e libertà degli interessati.
- Le categorie di dati personali interessate dalla violazione. A questo proposito si dovrà valutare, ad esempio, se la violazione riguarda il trattamento di dati personali sensibili o se possa comunque causare immediati danni o disagi agli interessati.
- Il modo in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che modo il titolare o il responsabile del trattamento hanno comunicato la violazione realizzata. Si ricorda che il titolare del trattamento ha l’obbligo di notificare all’autorità di controllo eventuali violazioni dei dati personali, quindi nel caso in cui si limiti ad adempiere, tale attività non potrà essere considerata come fattore attenuante al fine di disporre una sanzione minore. All’opposto, nel caso in cui il titolare o il responsabile del trattamento non abbia provveduto a notificare la violazione, l’autorità di controllo potrebbe ritenere di comminare una sanzione più grave.
- L’osservanza o inosservanza di eventuali altri provvedimenti o sanzioni disposti in precedenza nei confronti del titolare o del responsabile del trattamento e riguardanti lo stesso oggetto.
- L’adesione ai codici di condotta o ai meccanismi di certificazione. Nel caso in cui il titolare o il responsabile del trattamento abbia aderito a un codice di condotta approvato, l’autorità di controllo potrebbe ritenere sufficiente che sia l’ente incaricato di gestire il codice ad intervenire direttamente nei confronti del proprio, senza quindi la necessità di imporre misure sanzionatorie aggiuntive.
Come si può notare, molteplici sono le circostanze che dovranno essere prese in considerazione per la determinazione della misura della sanzione concretamente applicabile.
Preme ribadire infatti che, come visto sopra, ciascuna ipotesi di violazione delle disposizioni sancite nel GDPR dovrà essere valutata singolarmente per la determinazione della misura della sanzione pecuniaria applicabile. Più nello specifico, si dovrà attendere l’effettiva applicazione del Regolamento per poter verificare come tali sanzioni saranno concretamente determinate, e se saranno eventualmente previsti degli scaglioni rispetto ai massimali previsti dall’art. 83 del GDPR. Ad ogni modo, l’importo della sanzione da comminare nel caso specifico dovrà essere determinato sulla base delle circostanze che emergono nel caso concreto e non, quindi, in astratto e a priori.