Le multe per violazioni del Gdpr schizzano alle stelle. Da uno studio condotto in tutta Europa dallo studio legale Dla Piper emerge che il 2023 è stato nuovamente un anno da record dal punto di vista della somma complessiva delle sanzioni emesse dalle authority europee: 1,78 miliardi di euro, ovvero il 14% in più rispetto al valore delle multe dell’anno precedente. Peraltro il 2022 aveva segnato un’accelerazione forte, con un incremento del 50% rispetto all’ammontare delle multe del 2021.
L’incremento del 14%, quindi, segna un nuovo record ma anche una decelerazione della crescita delle sanzioni. Questo, spiega Dla Piper, è principalmente dovuto a una serie di ricorsi accolti in varie giurisdizioni, che hanno portato alla riduzione o in alcuni casi all’annullamento della sanzione. Inoltre le stesse autorità europee per la protezione dei dati hanno limitato il numero di sanzioni a monte, a seguito di pareri e decisioni vincolanti del Comitato Europeo per la Protezione dei Dati (Edpb).
C’è una costante: anche quest’anno l’Irlanda si conferma al primo posto per ammontare di multe per violazioni del Gdpr, con un valore totale aggregato nel tempo di 2,86 miliardi di euro. E il fatto non stupisce, considerando che l’Irlanda ospita la sede legale di una delle Big Tech notoriamente nel mirino delle autorità antitrust, cioè Meta.
La società di Mark Zuckerberg è stata destinataria, lo scorso maggiore, della
sanzione per violazione Gdpr più elevata di sempre: 1,2 miliardi di euro. La multa, emessa nel maggio 2023 dal Data Protection Commissioner irlandese, si deve al fatto che Meta non avesse interrotto la pratica (diventata illegale) di trasferimento dei dati degli utenti dall’Europa agli Stati Uniti. Come evidenziato da Dla Piper, le dieci sanzioni Gdpr più elevate di sempre sono state inflitte a social media e Big Tech.
Dopo l’Irlanda, il
Lussemburgo si posiziona al secondo posto come Paese che ha ricevuto più sanzioni dal 25 maggio 2018 a oggi, per un totale di 746 milioni di euro. Seguono
Francia, con 546 milioni di euro, e al quarto posto a una certa distanza l’
Italia, con 145 milioni di euro. Bisogna considerare che questi valori riflettono anche la diversa concentrazione nazionale di imprese, specie multinazionali tecnologiche o che trattano grandi quantità di dati.
Oltre che per la raccolta e il trattamento dei dati, se realizzati in modo opaco o non conforme, le multe sono spesso legate alla mancata dichiarazione (disclosure) di attacchi informatici con data breach subìti. Negli ultimi 12 mesi rimane più o meno stabile il numero di notifiche di violazioni ai dati, in media 335 al giorno rispetto alle 328 dell'anno precedente. Germania, Paesi Bassi e Polonia hanno riportato il maggior numero di casi totali, mentre la Danimarca è invece in cima alla classifica per il numero di notifiche di violazioni in rapporto alla popolazione.
“I social media e le Big Tech rimangono il bersaglio principale delle sanzioni più elevate emesse dalle autorità per la protezione dei dati personali”, ha commentato Giulio Coraggio, partner responsabile del dipartimento Intellectual Property and Technology di Dla Piper in Italia. “Questo dato non va letto nel senso che unicamente tali aziende sono nel mirino dei garanti privacy europei perché in Italia le sanzioni sono state emesse in numero decisamente superiore da un punto di vista quantitativo rispetto a Paesi come l’Irlanda; l’importo complessivo più ridotto è dovuto unicamente dall’enorme fatturato delle aziende che hanno sede in Irlanda. Il Garante privacy italiano è stato ad esempio tra i più attivi nei provvedimenti relativi all’utilizzo dell’intelligenza artificiale. Ci aspettiamo che le problematiche privacy dell’AI e delle responsabilità da cyber attacco saranno gli argomenti più caldi su cui il Garante si concentrerà nel 2024. Quindi le aziende devono essere preparate perché il costo di eventuali sanzioni potrebbe essere elevato”.