Tocca quota 272,5 milioni di euro il totale delle sanzioni inflitte dai Garanti privacy europei per violazione del Gdpr da maggio 2018. Ed è l’Italia è il paese che ha irrogato le multe più salate, per un totale di 69,3 milioni, nonostante abbia riportato soltanto 2,5 notifiche di data breach per 100mila abitanti, classificandosi al penultimo posto in termini di multe pro-capite.
Emerge dalla ricerca elaborata dallo studio legale Dla Piper secondo cui in totale in Europa sono state registrate più di 281mila notifiche di violazione dei dati personali, con Germania (77.747), Paesi Bassi (66.527) e Regno Unito (30.536) in cima alla classifica per numero di data breach notificate alle autorità di regolamentazione.
La ricerca, dal titolo “Dla Piper GDPR fines and data breach survey: January 2021” riguarda le sanzioni emesse ai sensi del Regolamento europeo sul trattamento dei dati personali nei 27 Stati membri dell’Unione europea, con l’aggiunta di Regno Unito, Norvegia, Islanda e Liechtenstein.
Italia in cima alla classifica per valore delle multe
Il Garante per la protezione dei dati personali italiano è in cima alla classifica delle sanzioni comminate, avendo irrogato multe per un valore superiore ai 69,3 milioni di euro. Germania e Francia si attestano al secondo e al terzo posto, con sanzioni complessive rispettivamente di 69,1 milioni e 54,4 milioni di euro.
In totale, a partire da quando il Gdpr è entrato in vigore, sono state registrate più di 281mila notifiche di violazione dei dati personali, con Germania (77.747), Paesi Bassi (66.527) e Regno Unito (30.536) in cima alla classifica per numero di data breach notificate alle autorità di regolamentazione. Francia e Italia, che contano una popolazione superiore rispettivamente ai 67 milioni e ai 62 milioni di persone, nello stesso periodo hanno registrato solo 5.389 e 3.460 notifiche di violazione dei dati personali, dimostrando le differenze culturali nell’approccio alla notifica delle violazioni.
Il tasso totale giornaliero di notifiche di data breach in Europa ha registrato una crescita a due cifre per il secondo anno consecutivo, con 331 notifiche al giorno dal 28 gennaio 2020. Si tratta di un aumento del 18% rispetto alle 278 notifiche di violazioni quotidiane dell’anno precedente.
Contro Google la multa più alta
Analizzando i risultati in confronto con la popolazione dei paesi, l’Italia ha riportato appena 2,5 notifiche di data breach per 100.000 abitanti, classificandosi al penultimo posto in termini di notifiche pro-capite. Quest’anno è la Danimarca ad occupare la prima posizione, superando i Paesi Bassi: rispettivamente i due Paesi hanno notifiche 155,6 e 150 violazioni dei dati personali ogni 100.000 abitanti. L’Irlanda è al terzo posto, con 127,8.
La sanzione più elevata emessa ai sensi del Gdpr ha toccato i 50 milioni di euro ed è stata imposta a Google dal garante privacy francese per la protezione dei dati, per presunte violazioni del principio di trasparenza e mancanza di un consenso valido.
A seguito di due data breach di particolare rilevanza, nel luglio 2019 l’Information Commissioner’s Office del Regno Unito (ICO) ha annunciato l’intenzione di imporre sanzioni per un totale di 282 milioni di sterline. Tuttavia, le sanzioni finali irrogate nell’ottobre 2020 sono state notevolmente ridotte a circa 22,2 milioni di euro e a circa 20,4 milioni di euro. In Austria, l’autorità di vigilanza ha subito una battuta d’arresto in giudizio quando la sua multa di 18 milioni di euro è stata impugnata con successo nel dicembre 2020.
“I garanti privacy europei hanno dimostrato di voler utilizzare tutti i loro poteri sanzionatori. Hanno anche adottato alcune interpretazioni estremamente rigorose del Gdpr, che hanno aperto la strada ad accese battaglie legali negli anni a venire – dice Giulio Coraggio, partner di Dla Piper, coordinatore del settore Technology -. Tuttavia, quest’anno abbiamo anche visto l’autorità privacy inglese mostrare un certo grado di tolleranza in risposta alla pandemia in corso con diverse sanzioni di elevato valore ridotte a causa di difficoltà finanziarie”.
Secondo Coraggio si verificheranno durante il prossimo anno le prime azioni sanzioni relative alle restrizioni del Gdpr sui trasferimenti di dati personali al di fuori dello spazio economico europeo, “poiché – spiega il manager – continuano a farsi sentire le conseguenze della sentenza della Corte di giustizia europea nel caso Schrems II. Per supportare i nostri clienti su questo aspetto, DLA Piper ha sviluppato un tool di legal tech e una metodologia che è stata già apprezzata dai principali garanti europei”.
