È boom di multe per violazione del (Gdpr) in Europa: le infrazioni alle leggi sulla privacy sono costate 1,1 miliardi di euro di sanzioni alle imprese e ai soggetti finiti del mirino delle autorità da maggio 2018 a oggi. Si tratta di un incremento di quasi sette volte rispetto al dato dello scorso anno (272,5 milioni di euro), secondo quanto rilevato dallo studio legale Dla Piper nel report annuale “General data protection regulation (Gdpr) fines and data breach survey” condotto nei 27 Paesi dell’Unione europea più Uk, Norvegia, Islanda e Liechtenstein.
L’Italia, che l’anno scorso era in cima alla classifica per ammontare delle multe, viene scalzata da Lussemburgo e Irlanda. Dall’entrata in vigore del Gdpr a gennaio 2022 il Lussemburgo ha irrogato sanzioni per 746 milioni di euro, l’Irlanda per 226 milioni, l’Italia per 79 milioni.
Il primato del Lussemburgo
Il Lussemburgo balza in cima alla lista per aver irrogato la più alta sanzione mai emessa ad oggi in relazione a violazioni del Gdpr: 746 milioni di euro ad Amazon. È il nuovo record europeo: l’anno scorso la multa più alta (50 milioni di euro) era stata inflitta a Google dal garante francese dei dati personali.
Data breach in aumento dell’8%
Nell’ultimo anno sono stati notificati ai regolatori più di 130.000 data breach, in media 356 denunce al giorno, un incremento dell’8% rispetto alla media dei data breach giornalieri comunicati lo scorso anno (331).
Confrontando il numero delle compromissioni della privacy rispetto alla popolazione di ciascun paese, è l’Olanda la nazione con più data breach (150,7 per 100.000 abitanti) dall’entrata in vigore del Gdpr, mentre Grecia, Repubblica Ceca e Croazia hanno il numero più basso pro capite.
In numeri assoluti la Germania è prima con un totale di 106.700 notifiche alle autorità, seguita dall’Olanda (92.600) e dal Regno Unito (40.000).
Le sfide della sentenza Shrems II
Il report di Dla Piper dedica ampio spazio alla sentenza cosiddetta Shrems II (C-311/18 della Corte di Giustizia europea) con cui è stato invalidato il Privacy Shield, ovvero l’impianto normativo che regolava il trasferimento dei dati tra Usa e Ue. Si è aperto vuoto legale ancora non colmato che ha creato profonda incertezza, considerato che molte aziende e pubbliche amministrazioni, ma anche professionisti ed associazioni, si trovano a trasferire dati al di fuori dello Spazio economico europeo.
Dalla survey di Dla Piper emerge che la sentenza viene vista non solo come un potenziale innesco di una serie di multe e richieste di risarcimento, ma anche come minaccia di interruzione del servizio nel caso in cui il trasferimento dei dati venga sospeso, con impatti importanti sul mondo economico.
“La sentenza Schrems II ha spostato il problema e il peso di un fondamentale conflitto di leggi dal mondo della politica e dei legislatori a quello dei singoli esportatori e importatori di dati“, afferma Ewa Kurowska-Tober, Global co-chair del Data protection & security group di Dla Piper. “Soddisfare i requisiti della Schrems II è difficile anche per le grandi aziende con grandi risorse ed è impossibile per le piccole e medie imprese. Quello di cui c’è bisogno è risolvere il sottostante conflitto di leggi”.
Gdpr, nel 2021 in Italia le multe più salate
Nel report di un anno fa Dla Piper aveva registrato sanzioni totali per 272,5 milioni di euro inflitte dai Garanti privacy europei per violazione del Gdpr da maggio 2018. L’Italia è risultata il paese che ha irrogato le multe più salate, per un totale di 69,3 milioni, nonostante abbia riportato soltanto 2,5 notifiche di data breach per 100mila abitanti, classificandosi al penultimo posto in termini di multe pro-capite.
Dal maggio del 2018 al gennaio del 2021 in Europa sono state registrate più di 281mila notifiche di violazione dei dati personali, con Germania (77.747), Paesi Bassi (66.527) e Regno Unito (30.536) in cima alla classifica per numero di data breach notificate alle autorità di regolamentazione.
La sanzione più elevata emessa ai sensi del Gdpr ha toccato i 50 milioni di euro ed è stata imposta a Google dal garante privacy francese per la protezione dei dati, per presunte violazioni del principio di trasparenza e mancanza di un consenso valido.
