L’Italia ha inferto 75 sanzioni per violazione delle norme del Gdpr, per un totale che sfiora gli 84,5 milioni di euro. Siamo secondi solo alla Spagna per numerosità di multe per non compliance sulla privacy, mentre per valore delle sanzioni siamo superati dal Lussemburgo, che ha inferto un’unica multa da 746 milioni ad Amazon (è ancora in corso il processo d’appello). La seconda sanzione più pesante legata al Gdpr l’ha subita Google, multata per 50 milioni di euro dal Garante privacy della Francia, Cnil.
I dati emergono da una ricerca della società di cybersecurity Eset, che ha studiato i trend legati all’implementazione del regolamento europeo sulla protezione dei dati dal 2018, come l’ammontare delle multe inferte, i Paesi che hanno comminato più sanzioni, e le violazioni più comuni.
La Spagna ci supera per numero di sanzioni: 273. Ma l’ammontare è inferiore al nostro: 32,4 milioni complessivamente.
In Italia la multa media è stata di 1,1 milioni di euro. La Germania ha inferto 28 multe per totali 49,1 milioni di euro, pari a una media di circa 1,7 milioni per multa. Il Regno Unito ha inferto solo 5 multe per un totale 44,2 milioni totali, circa 8,8 milioni a multa.
Dieci Paesi Ue hanno inferto multe per 193 milioni
Nella top ten dei Paesi europei che hanno comminato più multe, Spagna e Italia sono dunque prima e seconda per numerosità delle sanzioni, seguite da Romania (60), Ungheria (43), Norvegia (31), Germania (28), Svezia (26), Belgio (25), Polonia (24) e Bulgaria (20).
In totale, i 10 Paesi europei che hanno inferto più sanzioni legate a violazioni delle norme del Gdpr hanno comminato multe per 193 milioni di euro dal 2018 a oggi.
Sul fronte opposto, i 10 Paesi che hanno sanzionato meno sono guidati dall’Olanda (1 sanzione, 450.000 euro). Poco attivi anche Portogallo (4), Estonia (5), Lettonia (5).
Le basi legali delle multe
Insufficienti basi legali per l’elaborazione dei dati è stata la motivazione più frequente per le sanzioni legate al Gdpr: riguarda 276 multe per 173,2 milioni. Le aziende sanzionate non sono state in grado di dimostrare che la raccolta e l’uso dei dati personali era non solo utile, ma “necessaria”.
La seconda motivazione più frequente sono “insufficienti misure tecniche e organizzative per garantire la sicurezza dei dati”: 155 violazioni e un totale di 67,3 milioni.
Altre 149 sanzioni sono state decise per “non-compliance con i principi generali del data processing”, con multe totali per 782 milioni.
In Italia multe alle telco. Faro del Garante sulle app di verifica del Green pass
Le sanzioni più pesanti decise nel nostro Paese hanno colpito le telco: gruppo Tim (27,8 milioni di euro), WindTre (16,7 milioni) e Vodafone Italia (12,25 milioni).
Separatamente, il Garante privacy ha avviato in Italia un’indagine sulle “app non in regola” per la verifica del Green pass. Diversi produttori e sviluppatori, anche di altri Paesi – fa sapere l’autorità italiana per la protezione dei dati personali – hanno messo a disposizione sugli store online app per la verifica del green pass che consentono a chi le scarica, inquadrando il Qr Code, di leggere dati personali come nome, cognome, data di nascita, ma perfino dosi o tamponi effettuati. In alcuni casi le app richiedono anche una registrazione per il download e trasferiscono i dati a terzi.
Il Garante mette in guardia tutti gli utenti dallo scaricare queste app, che trattano dati in violazione delle disposizioni di legge, le quali stabiliscono che è l’app VerificaC19, rilasciata del ministero della Salute, l’unico strumento di verifica delle certificazioni verdi utilizzabile per garantire la privacy delle persone.
