In sette anni dall’entrata in vigore del Gdpr, il regolamento europeo sulla protezione dei dati personali, sono state oltre 2.500 le sanzioni amministrative emesse, per un totale di oltre 6 milioni di euro richiesti ai trasgressori. A dare i numeri è Enforcement Tracker, con una pagina che elenca le statistiche dei sette anni intercorsi dal maggio del 2018 a oggi.
Le violazioni riscontrate riguardavano soprattutto l’insufficienza di basi legali per il trattamento dei dati (che si è tradotta in 684 sanzioni), la mancata conformità ai principi generali di trattamento dei dati (656 multe), l'insufficienza di misure tecniche e organizzative a tutela della sicurezza dei dati (433), il mancato riconoscimento di diritti sui dati personali, la scarsità di informazioni fornite agli utenti, l’insufficiente collaborazione con le autorità e la mancata notifica dei data breach.
Tutti i record delle multe Gdpr
Superati i primi mesi di assestamento, il numero delle multe è cresciuto in modo costante, quasi in linea retta. Per quanto riguarda l’ammontare delle sanzioni, invece, la curva è irregolare, con alcune impennate legate al riconoscimento di violazioni commesse da Big Tech come Meta (quattro multe in sette anni, l’ultima da 1,2 miliardi di dollari nel 2023), Amazon Europe (746 milioni di euro nel 2021), TikTok (345 milioni di euro nel 2023), LinkedIn e Uber. La somma richiesta dipende sia dalla gravità della violazione sia dal giro d’affari globale dell’azienda, anche se il perimetro dell'obbligo di compliace è ristretto all'Unione Europea.
Nei sette anni, l’importo medio è stato di 2,4 milioni di euro a sanzione, ma naturalmente i citati casi eclatanti sballano la media statistica. Sul totale degli oltre 6 miliardi di euro, ammontano a più di 4,5 miliardi le multe inflitte ad aziende del settore media, telecomunicazioni e broadcasting, che include anche le Web company e le piattaforme social, e dunque il dato non stupisce più di tanto.
Allo stesso modo, non stupisce vedere che l’Irlanda è stato di gran lunga il primo Paese di destinazione delle sanzioni Gdpr (per un valore di oltre 4 miliardi, circa due terzi del totale), considerato che le multinazionali tecnologiche statunitensi spesso scelgono Dublino per il proprio quartier generale europeo. Nella classifica seguono Lussemburgo, Francia, Paesi Bassi, Italia e Spagna.
I garanti più attivi in assoluto nello Spazio Economico Europeo sono, a oggi, quello spagnolo e a seguire il Gpdp (Garante per la Protezione dei Dati Personali) italiano, con rispettivamente 932 e 400 provvedimenti sanzionatori emessi. Al terzo posto l’autorità rumena, a quota 197. Tra le “vittime illustri” del Gpdp spiccano, per entità della multa, Enel Energia, Tim, Clearview AI, Wind Tre, OpenAI e Vodafone Italia.
Privacy difficile da proteggere
Nel commentare questi dati, Federprivacy ha sottolineato che mai come oggi è difficile per i cittadini proteggere le informazioni personali, in una quotidianità fatta di telefonate di call center, sistemi di tracciamento online e applicazioni di intelligenza artificiale che naturalmente raccolgono dati.
“Il Gdpr ha sicuramente portato maggiore sensibilità per i temi della privacy, ma per quanto possano essere severe le sanzioni amministrative, c'è ancora molto da fare per tutelare i cittadini”, ha commentato il presidente di Federprivacy, Nicola Bernardi. “Per creare una società digitale sostenibile, è necessario un ripensamento da parte delle istituzioni per adottare strumenti che producano veramente un effetto dissuasivo, come il blocco dei trattamenti dei dati personali e misure di carattere penale per chi commette intenzionalmente gravi violazioni o per chi si dimostra recidivo nonostante le sanzioni già ricevute”.