Lo studio legale internazionale DLA Piper ha pubblicato i risultati della sua indagine annuale sull’andamento delle sanzioni emesse ai sensi del GDPR e delle notifiche di data breach. L’indagine, condotta in tutta Europa, ha rivelato un altro anno record, con un importo totale delle sanzioni emesse dal 28 gennaio 2022 a oggi pari a 2,92 miliardi di euro, con un aumento del 50% rispetto all’anno precedente.
Il report “DLA Piper GDPR fines and data breach survey: January 2023”, giunto quest’anno alla sua quinta edizione, evidenzia che tra le sanzioni del GDPR più elevate vi sono quelle comminate a Meta Platforms Ireland, a dimostrazione del fatto che i social media, e la loro dipendenza da un ampio trattamento di dati personali, sono stati oggetto di particolare attenzione da parte delle autorità di regolamentazione.
Molte delle sanzioni inflitte dall’autorità privacy irlandese riguardano la profilazione comportamentale degli utenti e la possibilità di utilizzare la base giuridica della “necessità contrattuale” per legittimare la raccolta massiccia di dati personali. Mentre il DPC irlandese aveva inizialmente concluso che ciò era possibile, lo European Data Protection Board ha manifestato un orientamento diverso. Le sanzioni che ne derivano sollevano seri interrogativi sul grande accordo stipulato tra consumatori e fornitori di servizi e sul modo in cui i servizi online “gratuiti” saranno finanziati in futuro. Data la posta in gioco, DLA Piper si aspetta che queste decisioni vengano impugnate, con conseguenti prolungate controversie.
L’indagine rivela anche che il volume dei data breach notificati ai garanti privacy è diminuito leggermente rispetto al totale dell’anno precedente. Il totale medio giornaliero è sceso da 328 notifiche a 300. Questo potrebbe essere in parte il segno che i soggetti coinvolti stanno diventando più cauti nel notificare i data breach alle autorità privacy per paura di indagini, sanzioni e richieste di risarcimento.
Sebbene quest’anno le questioni relative ai dati personali in relazione alla pubblicità e ai social media abbiano dominato le prime pagine dei giornali, c’è una crescente attenzione per l’Intelligenza Artificiale e il ruolo dei dati personali utilizzati per addestrare l’IA. Quest’anno, in particolare, sono state condotte diverse indagini sulla società di riconoscimento facciale Clearview AI a seguito di denunce da parte di organizzazioni per i diritti digitali, tra cui l’organizzazione My Privacy is None of your Business (NOYB) di Max Schrems, con l’emissione di diverse sanzioni. Poiché l’IA e le piattaforme di apprendimento automatico sono sempre più diffuse, il report prevede per l’anno a venire un aumento delle indagini e della normativa, con particolare attenzione sia ai fornitori che agli utenti dell’IA.
L’indagine sulle sanzioni GDPR riporta anche alcune decisioni degne di nota prese quest’anno dalle autorità privacy in merito all’applicazione dei requisiti del GDPR Schrems II e del Capitolo V a specifici trasferimenti internazionali di dati personali. I garanti privacy hanno sostenuto che non è possibile adottare un approccio basato sul rischio quando si valutano i trasferimenti di dati personali verso “Paesi terzi”, sostenendo in sostanza che i trasferimenti sono vietati se la mera possibilità di accesso da parte di governi stranieri dà luogo a un qualsiasi rischio di danno (per quanto banale e improbabile).
Commentando l’indagine, Giulio Coraggio, partner responsabile del dipartimento Intellectual Property and Technology dello studio legale DLA Piper in Italia, ha dichiarato: “Un approccio proporzionato e basato sul rischio agli obblighi previsti dal GDPR sui trasferimenti di dati personali al di fuori dello SEE non è solo consentito ma, a nostro avviso, legalmente richiesto. L’adozione di un approccio “assolutista” alle restrizioni sui trasferimenti e l’effettiva messa al bando di qualsiasi trasferimento di dati personali, per quanto ridotto sia il rischio di danno, rischia di arrecare un danno reale e duraturo ai consumatori. In quest’ottica si pone la metodologia e il tool di legal tech “Transfer” realizzato da DLA Piper e ad oggi utilizzato da oltre 250 clienti dello studio“.