Il Garante Olandese pubblica la policy per le sanzioni amministrative del GDPR.

Garante Olandese sanzioni GDPR

Nel marzo 2019 il Garante Olandese è stata la prima autorità per la protezione dei dati personali in Europa ad aver pubblicato la “GDPR Fining Policy” dettagliando i principi per la determinazione delle sanzioni relative alle violazioni degli obblighi imposti dal GDPR.

L’articolo 83 del GDPR, nelle condizioni generali per infliggere sanzioni amministrative pecuniarie, stabilisce che: ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte … in relazione alle violazioni del GDPR …  siano “effettive, proporzionate e dissuasive”.

Il comma 4 stabilisce sanzioni amministrative pecuniarie per un importo massimo di euro 10.000.000, oppure fino al 2% del fatturato mondiale annuo, nei casi, a titolo esemplificativo: di violazione al consenso dei minori, trattamento illecito di dati personali che non richiede l’identificazione dell’interessato, mancata o errata notifica di una violazione dei dati personali all’Autorità, violazione dell’obbligo di nomina del DPO, mancata applicazione di misure di sicurezza.

Il comma 5 poi, relativamente alle violazioni dei principi di base del trattamento, ai diritti degli interessati, alle disposizioni sui trasferimenti di dati personali fuori dalla UE, all’inosservanza degli ordini dell’Autorità, stabilisce sanzioni che possono arrivare a 20 milioni di euro e, per le imprese, al 4% del fatturato mondiale.

Poco viene detto però su come determinare l’ammontare esatto e quale sia la scala.

La politica sanzionatoria Olandese risolve questa mancanza introducendo un sistema a quattro categorie ognuna delle quali ha diversi tipi di violazione.

  • I Categoria – Sanzione da 0 a 200.000 euro – Sanzione base 000 euro
  • II Categoria – Sanzione da 120.000 a 500.000 euro – Sanzione base € 310.000 euro
  • III Categoria – Sanzione da 300.000 a 750.000 – Sanzione base 525.000 euro
  • IV Categoria – Sanzione da € 450.000 a € 1.000.000 – Sanzione base 000 euro

La prima categoria è riservata a violazioni minori, come ad esempio la mancata pubblicazione dei dati di contatto del Data Protection Officer.

La seconda categoria è riservata al mancato rispetto dei principi relativi al trattamento di dati personali come la mancanza di accordi/contratti con i Responsabili  dell’elaborazione dei dati, la mancanza di sicurezza nel trattamento dei dati personali, l’assenza di valutazioni d’impatto.

La terza categoria fa riferimento a violazioni quali il requisito di trasparenza, mancata notifica di violazioni dei dati, non collaborazione con l’autorità olandese per la protezione dei dati.

La quarta categoria è riservata alle violazioni più gravi come il trattamento illecito di categorie particolari di dati, profilazione illecita e non conforme alle direttive dell’autorità olandese.

Ogni categoria stabilisce un importo di base ed un range entro cui tale importo può oscillare per eccesso o per difetto. I tipi di violazioni suddivisi per categoria sono elencati negli allegati.

Per classificare le violazioni l’autorità olandese fornisce un elenco di “fattori rilevanti” per determinarne la gravità.

Per stabilire la somma della sanzione pecuniaria si parte dall’ammenda di base e si aumenta o si diminuisce tale importo in base ai fattori rilevanti elencati nell’art. 7 che sono:

  1. la natura, la gravità e la durata dell’infrazione, tenuto conto della natura, dell’entità o della finalità del trattamento in questione e del numero di interessati e l’entità del danno da essi subito;
  2. la tipologia dolosa o colposa della violazione;
  3. le misure adottate dal responsabile o dall’incaricato del trattamento per limitare il danno subito dagli interessati;
  4. il livello di responsabilità del titolare o del responsabile in considerazione delle misure tecniche e organizzative che devono essere adottate ai sensi degli articoli 25 e 32 del GDPR
  5. eventuali violazioni rilevanti precedenti da parte del responsabile o dell’incaricato del trattamento;
  6. il grado di cooperazione con l’Autorità per la protezione dei dati Olandese per porre rimedio all’infrazione e limitarne le possibili conseguenze negative;
  7. le categorie di dati personali a cui si riferisce la violazione;
  8. il modo in cui l’autorità di controllo è venuta a conoscenza dell’infrazione, in particolare se, e in tal caso in quale misura, il responsabile del trattamento o l’incaricato del trattamento abbia segnalato l’infrazione;
  9. in quale misura il responsabile del trattamento o l’incaricato del trattamento ha rispettato le precedenti misure imposte dall’Autorità Olandese, di cui all’articolo 58, paragrafo 2, del GDPR;
  10. conformità con i codici di condotta approvati ai sensi dell’articolo 40 del GDPR o con i meccanismi di certificazione approvati di cui all’articolo 42 del GDPR;
  11. qualsiasi altra circostanza che possa essere considerata come fattore aggravante o attenuante, come i guadagni finanziari realizzati o le perdite evitate, indipendentemente dal fatto che siano o meno direttamente derivanti dall’infrazione..

Il GDPR Fining Policy dell’Autorità Olandese è disponibile qui:

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/stcrt-2019-14586_0.pdf