GDPR, nel 2021 sanzioni per 1,1 miliardi. Il report di DLA Piper

Si è chiuso un 2021 da record per i garanti privacy degli Stati europei. Un anno in cui l’importo complessivo delle sanzioni inflitte per violazioni del GDPR ha toccato quota 1,1 miliardi di euro, sei volte in più (+594%) del dato relativo al 2020.

A rivelarlo è il “GDPR fines and data breach survey 2022” dello studio legale DLA Piper, che ha raccolto i dati sulle violazioni della normativa europea su dati e privacy in 31 Stati europei (i 27 membri dell’UE, più Regno Unito, Norvegia, Islanda e Liechtenstein).

Sembra dunque entrare a regime l’applicazione del GDPR, entrato in vigore nel 2018. A irrogare le sanzioni più consistenti sono state nel 2021 Lussemburgo, Irlanda e Francia (rispettivamente con singoli provvedimenti da 746, 225 e 50 milioni di euro). Lussemburgo e Irlanda, di conseguenza, balzano in cima alla graduatoria dell’importo totale delle multe applicate dal 2018, seguite dall’Italia.

Crescono, ma non di pari passo (+8%), le notifiche di data breach. Nell’ultimo anno sono state in media 356 al giorno, per un totale di circa 130mila. Paesi Bassi, Liechtenstein e Danimarca sono i paesi in cui se ne registrano di più (rispettivamente 151, 136 e 131 notifiche per ogni 100mila abitanti); Croazia, Repubblica Ceca e Grecia quelli in cui se ne registrano di meno.

Il commento

“L’Italia è uno dei paesi in cui il valore complessivo di sanzioni emesse ai sensi del GDPR è stato più elevato dall’entrata in vigore del regolamento” spiega Giulio Coraggio, partner responsabile del dipartimento italiano di Intellectual Property & Technology di DLA Piper. “Questo dimostra che il Garante per la protezione dei dati personali è stato decisamente attivo negli ultimi anni, anche se non ha fornito criteri chiari per il calcolo delle sanzioni, lasciando le aziende in uno stato di incertezza che può durare anche anni per la lunghezza dei procedimenti. Questo spiega forse il motivo perchè l’Italia sia anche uno dei paesi con il numero minore di notifiche di data breach, se rapportato alle dimensioni della popolazione. Ciò è difficile da spiegare in un periodo in cui, anche a causa della pandemia, il numero di cyberattacchi è notevolmente aumentato. È possibile che le incertezze dei procedimenti davanti al Garante fungano da deterrente per le aziende a procedere alla notifica di data breach, il che inevitabilmente si traduce in un danno per gli individui.” L’avvocato fa riferimento anche ala sentenza della CGUE “Schrems II“, che è andata a colpire i soggetti che trasferiscono dati personali verso paesi terzi extra-UE: “Poche aziende si sono mosse per garantire un’effettiva conformità con i requisiti di cui alla sentenza Schrems II, il che può rappresentare un ulteriore rischio di mancata conformità in una eventuale ispezione del Garante successiva ad una notifica di data breach”.