Aumento del 39% rispetto ai 20 mesi precedenti la data di applicazione del GDPR

Privacy e GDPR: sanzioni per 272,5 milioni dal 25 maggio 2018

DLA Piper GDPR fines and data breach survey: January 2021, ricerca elaborata dello studio legale internazionale DLA Piper, ha mostrato che dal 25 maggio 2018 i garanti privacy europei hanno inflitto sanzioni per un totale di 272,5 milioni di euro a seguito di differenti tipologie di violazioni delle rigide leggi europee in materia di trattamento dei dati personali.

La ricerca riguarda le sanzioni emesse ai sensi del Regolamento europeo sul trattamento dei dati personali (GDPR) nei 27 Stati membri dell’Unione Europea, con l’aggiunta di Regno Unito, Norvegia, Islanda e Liechtenstein.

Il Garante per la protezione dei dati personali italiano è in cima alla classifica delle sanzioni comminate, avendo irrogato sanzioni per un valore superiore ai 69,3 milioni di euro. Germania e Francia si attestano al secondo e al terzo posto, con sanzioni complessive rispettivamente di 69,1 milioni e 54,4 milioni di euro.

In totale, a partire dal 25 maggio 2018, data in cui è entrato in vigore il GDPR, sono state registrate più di 281.000 notifiche di violazione dei dati personali, con Germania (77.747), Paesi Bassi (66.527) e Regno Unito (30.536) in cima alla classifica per numero di data breach notificate alle autorità di regolamentazione. Francia e Italia, che contano una popolazione superiore rispettivamente ai 67 milioni e ai 62 milioni di persone, nello stesso periodo hanno registrato solo 5.389 e 3.460 notifiche di violazione dei dati personali, dimostrando le differenze culturali nell’approccio alla notifica delle violazioni.

Il tasso totale giornaliero di notifiche di data breach in Europa ha registrato una crescita a due cifre per il secondo anno consecutivo, con 331 notifiche al giorno dal 28 gennaio 2020. Si tratta di un aumento del 18% rispetto alle 278 notifiche di violazioni quotidiane dell’anno precedente.

Analizzando i risultati in confronto con la popolazione dei paesi, l’Italia ha riportato appena 2,5 notifiche di data breach per 100.000 abitanti, classificandosi al penultimo posto in termini di notifiche pro-capite. Quest’anno è la Danimarca ad occupare la prima posizione, superando i Paesi Bassi: rispettivamente i due Paesi hanno notifiche 155,6 e 150 violazioni dei dati personali ogni 100.000 abitanti. L’Irlanda è al terzo posto, con 127,8.

La sanzione più elevata emessa ai sensi del GDPR ha toccato i 50 milioni di euro ed è stata imposta a Google dal garante privacy francese per la protezione dei dati, per presunte violazioni del principio di trasparenza e mancanza di un consenso valido.

A seguito di due data breach di particolare rilevanza, nel luglio 2019 l’Information Commissioner’s Office del Regno Unito (ICO) ha annunciato l’intenzione di imporre sanzioni per un totale di 282 milioni di sterline. Tuttavia, le sanzioni finali irrogate nell’ottobre 2020 sono state notevolmente ridotte a circa 22,2 milioni di euro e a circa 20,4 milioni di euro. In Austria, l’autorità di vigilanza ha subito una battuta d’arresto in giudizio quando la sua multa di 18 milioni di euro è stata impugnata con successo nel dicembre 2020.

Commentando il rapporto, Giulio Coraggio, partner di DLA Piper, coordinatore del settore Technology, ha dichiarato: “Le sanzioni pecuniarie e le notifiche di data breach continuano la loro crescita annuale a due cifre e i garanti privacy europei hanno dimostrato di voler utilizzare tutti i loro poteri sanzionatori. Hanno anche adottato alcune interpretazioni estremamente rigorose del GDPR, che hanno aperto la strada ad accese battaglie legali negli anni a venire. Tuttavia, quest’anno abbiamo anche visto l’autorità privacy inglese mostrare un certo grado di tolleranza in risposta alla pandemia in corso con diverse sanzioni di elevato valore ridotte a causa di difficoltà finanziarie. Durante il prossimo anno prevediamo le prime azioni sanzioni relative alle restrizioni del GDPR sui trasferimenti di dati personali al di fuori dello Spazio economico europeo, poiché continuano a farsi sentire le conseguenze della sentenza della Corte di giustizia europea nel caso Schrems II. Per supportare i nostri clienti su questo aspetto, DLA Piper ha sviluppato un tool di legal tech e una metodologia che è stata già apprezzata dai principali garanti europei”.