Dallo scorso 28 gennaio 2021 a oggi i garanti privacy europei hanno inflitto sanzioni per un totale di quasi 1,1 miliardi di euro, quale conseguenza di una vasta gamma di violazioni al Regolamento generale europeo sulla protezione dei dati (Gdpr). Il dato rappresenta un aumento del 594% rispetto alle sanzioni irrogate nell’anno precedente. È quanto emerge dal report annuale dello studio legale Dla Piper sulle sanzioni per le violazioni del Gdpr registrate nei 27 Stati membri dell’Unione europea, più il Regno Unito, la Norvegia, l’Islanda e il Liechtenstein.
Le multe
Dal report emerge che Lussemburgo, Irlanda e Italia sono in testa per il valore complessivo delle sanzioni emesse dall’entrata in vigore del Gdpr. Lussemburgo, Irlanda e Francia, invece, sono in cima alla classifica delle singole sanzioni più elevate emesse quest’anno, rispettivamente 746, 225 e 50 milioni di euro.
Nel nostro paese le sanzioni più pesanti hanno si sono registrate nel 2020 e hanno colpito essenzialmente le telco: gruppo Tim (27,8 milioni di euro), WindTre (16,7 milioni) e Vodafone Italia (12,25 milioni). Nell’ultimo hanno i provvedimenti del garante hanno riguardato anche altri attori come l’Inps, Deliveroo, Fastweb. All’estero, invece, durante gli ultimi 12 mesi non si può non citare la multa da da 746 milioni ad Amazon inferta dal Lussemburgo e quella francese da 250 milioni a Google sull’uso dei cookie.
“L’Italia è uno dei paesi in cui il valore complessivo di sanzioni emesse ai sensi del Gdpr è stato più elevato dall’entrata in vigore del regolamento. Questo dimostra che il Garante per la protezione dei dati personali è stato decisamente attivo negli ultimi anni, anche se non ha fornito criteri chiari per il calcolo delle sanzioni”, fa notare Giulio Coraggio, partner di Dla Piper, responsabile del dipartimento italiano di Intellectual Property & Technology.
Data breach
Negli ultimi 12 mesi è proseguita anche la crescita delle notifiche di data breach, con un aumento dell’8% della media dell’anno scorso, pari a 331 notifiche al giorno, raggiungendo quota 356 notifiche quotidiane. In totale sono state più di 130.000 le violazioni dei dati personali notificate alle autorità dal 28 gennaio 2021 a oggi.
Rapportando i risultati in base alla popolazione residente, Paesi Bassi, Liechtenstein e Danimarca sono i paesi in cui si registra il maggior numero di notifiche di data breach, rispettivamente con 151, 136 e 131 per ogni 100mila abitanti. Croazia, Repubblica Ceca e Grecia hanno invece riportato il minor numero di notifiche di data breach pro-capite.
“L’Italia – prosegue Coraggio – è anche uno dei paesi con il numero minore di notifiche di data breach. Ciò è difficile da spiegare in un periodo in cui, anche a causa della pandemia, il numero di cyberattacchi è notevolmente aumentato. È possibile che le incertezze dei procedimenti davanti al Garante fungano da deterrente per le aziende a procedere alla notifica di data breach, il che inevitabilmente si traduce in un danno per gli individui”.
La sfida compliance
Sebbene l’aumento delle sanzioni sia senz’altro significativo, la sentenza della Corte di Giustizia Ue nota come “Schrems II” continua a rappresentare la principale sfida di conformità alla normativa sulla protezione dei dati per molte organizzazioni soggette dal Gdpr, sottolinea una nota di Dla Piper.
La sentenza e il capitolo V del regolamento europeo impongono severe limitazioni al trasferimento di dati personali dall’Europa e dal Regno Unito a “paesi terzi” con gli esportatori di dati che rischiano ordini di sospensione, sanzioni e richieste di risarcimento per non aver soddisfatto questi nuovi requisiti.
Nel dettaglio, la sentenza richiede alle organizzazioni che esportano dati personali dall’Europa e dal Regno Unito verso paesi terzi di effettuare una mappatura completa di tali trasferimenti e valutazioni dettagliate dei rischi legali e pratici di intercettazione da parte delle autorità pubbliche nei paesi in cui si trovano gli importatori, aumentando notevolmente gli oneri di compliance per gli esportatori e gli importatori di dati.
