Quali multe rischiano gli operatori dei siti web per le violazioni della protezione dei dati?

Mario Steinberg Ultimo aggiornamento 21.10.2020
3 Min.
multe dsgvo
Ultimo aggiornamento 21.10.2020

Il 14 ottobre 2019, la Conferenza delle autorità indipendenti di protezione dei dati della Federazione e dei Länder (DSK) ha pubblicato un concetto per la valutazione delle multe nei procedimenti contro le aziende. Ora è finalmente chiaro quali multe i gestori di siti web possono aspettarsi in caso di violazioni della protezione dei dati. 

Informazioni di base sul concetto di fine del DSK

È generalmente noto che le violazioni del sito RGPD possono comportare una multa fino a dieci milioni di euro o il due per cento del fatturato annuale realizzato a livello mondiale. Nel caso di violazioni più gravi, la sanzione può essere anche il doppio. Tuttavia, in precedenza non era chiaro quale potesse essere l'importo di una multa in un caso individuale specifico. Il concetto del DSK ora cambia questo e fornisce alle autorità tedesche di controllo della protezione dei dati una base di calcolo uniforme e concreta. Inoltre, il concetto è chiaramente inteso ad avere un effetto preventivo generale sulle aziende e a rendere chiaro che ci si devono aspettare multe elevate se i requisiti di RGPD non vengono rispettati.

Poiché il concetto è solo un modello e non una legge, riguarda solo le procedure di ammenda contro le imprese avviate dalle autorità tedesche di controllo della protezione dei dati. Non ha un effetto vincolante sulla determinazione delle multe da parte dei tribunali.

Inoltre, il concetto può essere revocato, modificato o esteso dalla DPA in qualsiasi momento. Inoltre, è solo una soluzione provvisoria fino all'adozione finale delle linee guida sulla metodologia per il calcolo delle ammende da parte del Comitato europeo per la protezione dei dati. Resta quindi da vedere come si svilupperà la situazione delle multe.

calcolo delle multe dsgvo

Come si calcola la multa?

Il concetto di DSK prevede una procedura in cinque fasi per il calcolo dell'ammenda specifica:

Primo passo:

L'azienda viene assegnata a una delle quattro classi di dimensioni (da A a D) sulla base del suo fatturato mondiale totale nell'anno precedente, ognuna delle quali è suddivisa in tre sottogruppi (da A.I a A.III, da B.I a B.III, ecc.) per una classificazione più specifica.

Classificazione secondo il fatturato annuo:

Gruppo A: fino a EUR 2 milioni
Gruppo B: da EUR 2 a 10 milioni
Gruppo C: da EUR 10 a 50 milioni
GruppoD: oltre EUR 50 milioni

Secondo passo:

Si determina il fatturato medio annuo del sottogruppo in cui la società è stata classificata.

Terzo passo:

Il valore economico di base è determinato. Questa è la base per l'ulteriore determinazione dell'ammenda e corrisponde al fatturato medio annuo del sottogruppo in cui la società è stata classificata, diviso per 360 (giorni) e arrotondato alla cifra pre-decimale.

Quarto passo:

Un moltiplicatore è derivato dalla gravità della violazione della protezione dei dati. A questo proposito, il grado di gravità è classificato come leggero, medio, grave o molto grave in base alle circostanze specifiche del singolo caso. 

Il catalogo dei criteri che descrivono queste possibili circostanze si trova nell'articolo 83 (2) RGPD . Questi includono, per esempio, il tipo e la durata della violazione, il numero di persone interessate, l'entità del danno, il modo di cooperazione con l'autorità di vigilanza e anche se sono stati ottenuti benefici finanziari diretti attraverso la violazione. 

Inoltre, viene fatta una distinzione tra infrazioni "formali" (art. 83(4) RGPD) e "materiali" (art. 83 ABs. 5 e 6 RGPD). A seconda del tipo e della gravità della violazione della protezione dei dati, il fattore per le violazioni formali è tra 1 e 6, per le violazioni materiali tra 1 e 12; per violazioni molto gravi, il fattore può essere ancora più alto.

Quinto passo:

Il valore di base viene infine aggiustato sulla base di tutte le altre circostanze che parlano a favore e contro la persona interessata. Questi includono, in particolare, le circostanze relative al trasgressore e altre circostanze, come una lunga durata del procedimento o un'imminente insolvenza della società.

RGPD-Fine - Un esempio di calcolo 

Alla fine, il processo in cinque fasi descritto non è così complicato come sembra all'inizio. Ecco un esempio concreto:

Supponiamo che un lavoratore autonomo abbia avuto un fatturato di 80.000 euro nell'anno precedente. Questo lo colloca nel sottogruppo (più basso) A.I (fatturato annuo da 0 a 700.000 euro; livello 1), il fatturato medio annuo è quindi 350.000 euro (livello 2) e il valore economico di base è 972 euro (livello 3).

Supponiamo inoltre che si tratti di una dichiarazione di protezione dei dati errata sul sito web del lavoratore autonomo. Ciò costituisce una violazione dell'articolo 83(5)(b) RGPD . Poiché la gravità della violazione deve essere classificata come "leggera", il fattore può essere "solo" 2 (livello 4) secondo l'autorità di controllo della protezione dei dati; un adeguamento non sarebbe appropriato secondo l'autorità di controllo della protezione dei dati (livello 5).

Questo renderebbe la multa di 1.944 euro.

Conclusione

Con il concetto di multa del DSK, è ora chiaro che anche violazioni relativamente insignificanti della protezione dei dati porteranno a multe rilevanti. Pertanto, tutte le aziende dovrebbero controllare o far controllare al più presto se rispettano correttamente tutti i requisiti di protezione dei dati, come un corretto banner Cookie. Questo perché le autorità di protezione dei dati non si attivano per caso, ma soprattutto quando vengono loro segnalate delle violazioni della protezione dei dati. E in pratica, questi rapporti provengono spesso da clienti insoddisfatti o da concorrenti che vogliono fare qualche danno ai loro concorrenti in questo modo.

Articoli correlati

Commenti su questo articolo

Scrivi un commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati con *.