Dal 28 gennaio 2021 a oggi i garanti privacy europei hanno inflitto sanzioni per un totale di quasi 1,1 miliardi di euro, quale conseguenza di una vasta gamma di violazioni al Regolamento generale europeo sulla protezione dei dati (GDPR). Il dato rappresenta un aumento del 594% rispetto alle sanzioni irrogate nell’anno precedente. È quanto emerge dal report annuale dello studio legale DLA Piper sulle sanzioni per le violazioni del GDPR registrate nei 27 Stati membri dell’Unione europea, più il Regno Unito, la Norvegia, l’Islanda e il Liechtenstein.
Il report “DLA Piper GDPR fines and data breach survey: January 2022”, giunto alla quarta edizione e presentato oggi, evidenzia come Lussemburgo, Irlanda e Francia siano in cima alla classifica delle sanzioni individuali più elevate emesse nell’ultimo anno (rispettivamente 746 milioni di euro, 225 milioni di euro e 50 milioni di euro). Per effetto di tali provvedimenti il Lussemburgo e l’Irlanda hanno compiuto un balzo verso l’alto della classifica delle sanzioni totali registrate dall’avvio del GDPR (25 maggio 2018), occupando ora le prime due posizioni, seguiti dall’Italia.
Negli ultimi 12 mesi è proseguita anche la crescita delle notifiche di data breach, con un aumento dell’8% della media dell’anno scorso, pari a 331 notifiche al giorno, raggiungendo quota 356 notifiche quotidiane. In totale sono state più di 130.000 le violazioni dei dati personali notificate alle autorità dal 28 gennaio 2021 a oggi.
Rapportando i risultati in base alla popolazione residente, Paesi Bassi, Liechtenstein e Danimarca sono i paesi in cui si registra il maggior numero di notifiche di data breach, rispettivamente con 151, 136 e 131 per ogni 100.000 abitanti. Croazia, Repubblica Ceca e Grecia hanno invece riportato il minor numero di notifiche di data breach pro-capite.
Sebbene l’aumento delle sanzioni sia senz’altro significativo, la sentenza della Corte di Giustizia UE nota come “Schrems II” continua a rappresentare la principale sfida di conformità alla normativa sulla protezione dei dati per molte organizzazioni soggette dal GDPR. La sentenza e il capitolo V del regolamento europeo impongono severe limitazioni al trasferimento di dati personali dall’Europa e dal Regno Unito a “paesi terzi” con gli esportatori di dati che rischiano ordini di sospensione, sanzioni e richieste di risarcimento per non aver soddisfatto questi nuovi requisiti. La sentenza richiede alle organizzazioni che esportano dati personali dall’Europa e dal Regno Unito verso paesi terzi di effettuare una mappatura completa di tali trasferimenti e valutazioni dettagliate dei rischi legali e pratici di intercettazione da parte delle autorità pubbliche nei paesi in cui si trovano gli importatori, aumentando notevolmente gli oneri di compliance per gli esportatori e gli importatori di dati.
Commentando i risultati dell’indagine, Giulio Coraggio, partner di DLA Piper, responsabile del dipartimento italiano di Intellectual Property & Technology, ha commentato: «L’Italia è uno dei paesi in cui il valore complessivo di sanzioni emesse ai sensi del GDPR è stato più elevato dall’entrata in vigore del regolamento. Questo dimostra che il Garante per la protezione dei dati personali è stato decisamente attivo negli ultimi anni, anche se non ha fornito criteri chiari per il calcolo delle sanzioni, lasciando le aziende in uno stato di incertezza che può durare anche anni per la lunghezza dei procedimenti. Questo spiega forse il motivo perché l’Italia sia anche uno dei paesi con il numero minore di notifiche di data breach, se rapportato alle dimensioni della popolazione. Ciò è difficile da spiegare in un periodo in cui, anche a causa della pandemia, il numero di cyberattacchi è notevolmente aumentato. È possibile che le incertezze dei procedimenti davanti al Garante fungano da deterrente per le aziende a procedere alla notifica di data breach, il che inevitabilmente si traduce in un danno per gli individui. Ciò avviene in un contesto in cui poche aziende si sono mosse per garantire un’effettiva conformità con i requisiti di cui alla sentenza Schrems II, il che può rappresentare un ulteriore rischio di mancata conformità in una eventuale ispezione del Garante successiva ad una notifica di data breach».