multe dsgvo

Quali multe rischiano gli operatori dei siti web per le violazioni della privacy?

Il 14 ottobre 2019, la Conferenza delle autorità indipendenti di privacy della Federazione e dei Länder (DSK) ha pubblicato un concetto per la valutazione delle multe nei procedimenti contro le aziende. Ora è finalmente chiaro quali multe i gestori di siti web possono aspettarsi in caso di violazioni della privacy. 

Informazioni di base sul concetto di qualità del DSK

È generalmente noto che le violazioni del sito RGPD possono comportare una multa fino a dieci milioni di euro o il due per cento del fatturato annuale realizzato a livello mondiale. Nel caso di violazioni più gravi, la sanzione può essere anche il doppio. Tuttavia, in precedenza non era chiaro quale potesse essere l'importo di una multa in un caso individuale specifico. Il concetto del DSK ora cambia questo e fornisce alle autorità tedesche di controllo della privacy una base di calcolo uniforme e concreta. Inoltre, il concetto è chiaramente inteso ad avere un effetto preventivo generale sulle aziende e a rendere chiaro che ci si devono aspettare multe elevate se i requisiti di RGPD non vengono rispettati.

Poiché il concetto è solo un modello e non una legge, riguarda solo i procedimenti di ammenda contro le aziende avviati dalle autorità tedesche di controllo della protezione dei dati. Non ha alcun effetto vincolante sulla determinazione delle multe da parte dei tribunali.

Inoltre, il concetto può essere revocato, modificato o esteso dalla DPA in qualsiasi momento. Inoltre, è solo una soluzione provvisoria fino all'adozione finale delle linee guida sulla metodologia per il calcolo delle ammende da parte del Comitato europeo per la privacy. Resta quindi da vedere come si svilupperà la situazione delle multe.

calcolo delle multe dsgvo

Come viene calcolata la multa?

Il concetto di DSK prevede una procedura in cinque fasi per il calcolo dell'ammenda specifica:

Primo passo:

L'azienda viene assegnata a una delle quattro classi di dimensioni (da A a D) sulla base del tuo fatturato mondiale totale nell'anno precedente, ognuna delle quali è suddivisa in tre sottogruppi (da A.I a A.III, da B.I a B.III, ecc.) per una classificazione più specifica.

Classificazione secondo il fatturato annuo:

Gruppo A: fino a EUR 2 milioni
Gruppo B: da EUR 2 a 10 milioni
Gruppo C: da EUR 10 a 50 milioni
GruppoD: oltre EUR 50 milioni

Secondo passo:

Viene determinato il fatturato medio annuo del sottogruppo in cui l'azienda è stata classificata.

Terzo passo:

Il valore economico di base è determinato. Questa è la base per l'ulteriore determinazione dell'ammenda e corrisponde al fatturato medio annuo del sottogruppo in cui la società è stata classificata, diviso per 360 (giorni) e arrotondato alla cifra pre-decimale.

Quarto passo:

Un moltiplicatore è derivato dalla gravità della violazione della privacy. A questo proposito, il grado di gravità è classificato come leggero, medio, grave o molto grave in base alle circostanze specifiche del singolo caso. 

Il catalogo dei criteri che descrivono queste possibili circostanze si trova nell'articolo 83 (2) RGPD . Questi includono, per esempio, il tipo e la durata della violazione, il numero di persone interessate, l'entità del danno, il modo di cooperazione con l'autorità di vigilanza e anche se sono stati ottenuti benefici finanziari diretti attraverso la violazione. 

Inoltre, viene fatta una distinzione tra infrazioni "formali" (art. 83(4) RGPD) e "materiali" (art. 83 ABs. 5 e 6 RGPD). A seconda del tipo e della gravità della violazione della privacy, il fattore per le violazioni formali è tra 1 e 6, per le violazioni materiali tra 1 e 12; per violazioni molto gravi, il fattore può essere ancora più alto.

Quinto passo:

Il valore di base viene infine aggiustato sulla base di tutte le altre circostanze che parlano a favore e contro la persona interessata. Questi includono, in particolare, le circostanze relative al trasgressore e altre circostanze, come una lunga durata del procedimento o un'imminente insolvenza della società.

RGPD-Fine - Un esempio di calcolo 

Alla fine, il processo in cinque fasi descritto non è così complicato come sembra all'inizio. Ecco un esempio concreto:

Supponiamo che un lavoratore autonomo abbia avuto un fatturato di 80.000 euro nell'anno precedente. Questo lo colloca nel sottogruppo (più basso) A.I (fatturato annuo da 0 a 700.000 euro; livello 1), il fatturato medio annuo è quindi 350.000 euro (livello 2) e il valore economico di base è 972 euro (livello 3).

Supponiamo inoltre che si tratti di una dichiarazione di privacy errata sul sito web del lavoratore autonomo. Ciò costituisce una violazione dell'articolo 83(5)(b) RGPD . Poiché la gravità della violazione deve essere classificata come "leggera", il fattore può essere "solo" 2 (livello 4) secondo l'autorità di controllo della privacy; un adeguamento non sarebbe appropriato secondo l'autorità di controllo della privacy (livello 5).

In questo modo la multa sarebbe di 1.944 euro.

Conclusione

Con il concetto di multa del DSK, è ora chiaro che anche violazioni relativamente insignificanti della privacy porteranno a multe rilevanti. Pertanto, tutte le aziende dovrebbero controllare o far controllare al più presto se rispettano correttamente tutti i requisiti di privacy, come un corretto banner Cookie. Questo perché le autorità di privacy non si attivano per caso, ma soprattutto quando vengono loro segnalate delle violazioni della privacy. E in pratica, questi rapporti provengono spesso da clienti insoddisfatti o da concorrenti che vogliono fare qualche danno ai loro concorrenti in questo modo.

Ti è piaciuto l'articolo?

Con la tua valutazione ci aiuti a migliorare ancora di più il nostro contenuto.

Scrivi un commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati da *.