GDPR: prime sanzioni pecuniarie in Germania

Il GDPR, regolamento generale sulla protezione dei dati Ue 2016/679, è stato emesso dall’Unione Europea per la tutela del trattamento dei dati personali e di privacy ed è ormai da parecchi mesi che tutti, aziende e professionisti, stanno lavorando per adeguare i sistemi interni a questa nuova normativa.

E perché tornare a parlarne?
La novità è il recente modello di sanzioni pecuniarie deciso e implementato da parte del garante tedesco dato che, fino ad ora, non era stato esplorato in maniera esaustiva il range di sanzioni applicabili, sia in termini di tipologia di violazione sia di entità delle sanzioni comminata. Ricordiamo anche che, ad oggi, non è ancora stata applicata alcuna sanzione interdittiva.

L’autorità per la protezione dei dati in Germania (il DSK) ha stabilito cinque passaggi per la definizione dell’importo da pagare da parte di chi ha commesso illecito; passaggi che possono portare la multa a livelli decisamente alti, soprattutto per le aziende di medie e grandi dimensioni. I primi tre step definiscono la taglia dell’azienda che ha commesso illecito. Il quarto e il quinto step sono invece riferiti alla violazione, stabilendone la gravità e la motivazione, la quale può fungere sia da fattore aggravante che da fattore mitigativo dell’importo della sanzione.

  • Primo step: definire la dimensione dell’azienda, società, compagnia
  • Secondo step: determinare il fatturato medio del sottogruppo a cui appartiene la società oggetto di indagine
  • Terzo step: dividere il fatturato medio per 360
  • Quarto step: identificare il moltiplicatore da applicare al valore individuato al punto 3. Questo moltiplicatore viene determinato in base alla gravità dell’atto compiuto in una scala che va da basso a molto elevata
  • Quinto step: definire l’importo della sanzione, in aumento o diminuzione, in base alla motivazione che ha portato all’illecito, o meglio, se si è trattato di un atto di mancanza di forma (ad esempio, manca una nomina) o di struttura, quindi di non implementazione corretta del regolamento (ad esempio, misure di sicurezza adeguate).

Per quanto concerne il dimensionamento delle aziende, il garante della privacy tedesco ha così stabilito:

  • micro companies – fin ad un fatturato annuo di 2 milioni di euro
  • Small companies – fatturato annuo compreso tra i 2 milioni e i 10 milioni di euro
  • Medium companies – fatturato annuo compreso tra i 10 a 50 milioni di euro
  • Large companies – fatturato annuo oltre i 50 milioni di euro

La decisione del garante tedesco potrebbe costituire l’esempio che l’Unione Europea potrebbe adottare per la definizione di una linea guida delle sanzioni.
Crediamo non sia possibile che venga imposto un metodo univoco, perché ogni autorità garante deve poter agire in autonomia, ma ciò che è sicuro è che verrà fatta richiesta di attenersi ad una linea comune per evitare che si trovino facili escamotage per eludere le sanzioni o per avere la riduzione massima di pena (come magari spostare le sedi legali in stati con le multe più basse).

Come sempre, il nostro intento è divulgativo, ci muove la voglia di informare e fornire sempre aggiornamenti; non possiamo prevedere i prossimi passi dell’Unione Europea e, di conseguenza, del nostro governo, ma siamo assolutamente certi che implementare un corretto sistema di GDPR sia la prima ed unica regola per contenere, limitare e il più possibile escludere possibili sanzioni.

Articolo di Martin Mc Mahon

Faccio parte del team Probitas e scrivo per il Portale 231. Mi occupo di progettazione ed implementazione di sistemi di gestione e analisi organizzativa e di rischio.

Contattaci:

Accetto le condizioni sulla Privacy. [Leggi]