GDPR: sanzioni per oltre 1 miliardo. L’Italia tra i 3 paesi più severi

Al momento stai visualizzando GDPR: sanzioni per oltre 1 miliardo. L’Italia tra i 3 paesi più severi

Boom di sanzioni per violazione del GDPR: superato il miliardo di euro dal 2018 ad ora. L’Italia si piazza al 3° posto tra gli stati più severi, superata solo da Irlanda e Lussemburgo.

Lo studio legale DLA Piper pubblica annualmente il report General data protection regulation (Gdpr) fines and data breach survey. E’ uno studio condotto annualmente nei 27 paesi UE più Regno Unito, Norvegia, Islanda e Liechtenstein e rende una fotografia dell’applicazione (e delle diversità di applicazione) del GDPR in Europa. Tra i dati tenuti in considerazione troviamo l’ammontare complessivo delle sanzioni erogate dall’entrata in vigore del GDPR ad ora.

Nello scorso report l’Italia si piazzava al primo posto per ammontare delle sanzioni comminate. Le cose sono cambiate e Lussemburgo e Irlanda scalzano il nostro paese, facendolo scivolare al 3° posto. Per dare qualche numero:

  • Il Lussemburgo ha comminato nazioni per 746 milioni di euro;
  • l’Irlanda per 226 milioni;
  • l’Italia per 79 milioni.

Il boom del Lussemburgo si deve alla sanzione più alta mai comminata per violazioni del GDPR

Il Lussemburgo ha conquistato la vetta con una sola sanzione: da o a 746 milioni dopo aver multato Amazon. Una cifra che segna il record europeo, fino a quel momento detenuto dal Garante francese per una multa a Google di 50 milioni di euro.

La sanzione, risalente al 16 Luglio 2021, condannava Amazon per aver trattato dati personali in violazione del GDPR: in dettaglio il Garante del Lussemburgo ha sanzionato la pratica del colosso di mostrare pubblicità mirate senza ottenere prima il dovuto consenso per tale finalità.

Aumentano i data breach

Il report mostra anche l’andamento delle notifiche dei data breach: nel 2021 sono stati notificati ai Garanti europei 130.000 data breach circa, 365 al giorno in media. Si registra quindi un incremento netto dell’8%. L’Olanda è la nazione col maggior numero di breach notificati, mentre Grecia, Repubblica Ceca e Croazia hanno il numero più basso. Dato dovuto non di certo al fatto che queste nazioni subiscano meno breach, ma che vi è meno attenzione a procedere a regolare notifica.

La sentenza Schrems II e il suo portato

Il report da ampio spazio alla sentenza Schrems II, che ha portato all’invalidazione del Privacy Shield. Questo accordo istituiva una serie di vincoli a protezione dei dati di cittadini e imprese europee che finivano trasferiti in server negli USA. La sentenza della Corte di Giustizia riconobbe semplicemente come insufficienti rispetto al GDPR tali vincoli. Questa è originata dal ricorso di un privato cittadino, Maximilian Schrems, che aveva segnalato il Privacy Shield alla Corte europea proprio a causa della insufficienza dei vincoli di protezione dei dati.

Per approfondire > Privacy Shield: l’UE annulla l’accordo per il trasferimento dei dati personali negli USA

Info utili > le FAQ dell’EDPB dopo l’invalidazione del Privacy Shield

Il report vi dedica molto spazio perché all’invalidazione del Privacy Shield non è normativa sostitutiva, così si è determinato un vuoto normativo ancora non colmato e che è fonte di incertezza continua. Il report fa emergere come tale sentenza sia vista come una potenziale miccia con cui legittimare una serie infinita di richieste di risarcimento e una scia di sanzioni. Non solo: molti la vedono come una minaccia alla propria attività lavorativa, temendo la sospensione del trasferimento dei dati con conseguente forte impatto sull’economia.

“Soddisfare i requisiti della Schrems II è difficile anche per le grandi aziende con ampi budget e mezzi, ed è impossibile per le piccole e medie imprese. Quello di cui c’è bisogno è risolvere il sottostante conflitto di leggi”

dichiarano da DLA Paper.

Arrivata la prima sanzione per violazione delle normative su cookie e tracking online

Il report ricorda, tra le sanzioni più salate, anche quella comminata dal Garante francese a Google e Facebook per violazione della normativa sui cookies e la raccolta del consenso la trattamento dei dati tramite cookie banner.

Per approfondire > Cookie, ora si fa sul serio: il Garante Francese sanziona Google e Facebook

Le sanzioni sono state rispettivamente di 60 milioni di euro per Facebook / Meta e di 150 milioni per Google. Non solo: entrambe le corporation hanno l’obbligo di correggere i propri banner pena 100.000 euro di sanzione per ogni giorno di ritardo.


Cerchi piattaforme per adempiere a 360° al GDPR ed evitare sanzioni? Vedi qui!
Oppure ti serve formazione? O un consulente privacy? Abbiamo quel che cerchi!