Come ogni anno è uscito il "GDPR Fines and Data Breach Survey" dello studio legale DLA Piper. I dati relativi alle sanzioni 2024 dimostrano un'intensa attività dei Garanti europei, con un totale di 1,2 miliardi di euro di sanzioni comminate.

Quest'anno il report copre tutti i 27 paesi membri dell'UE, con un allargamento dello sguardo anche a Regno Unito, Islanda, Liechtestein e Norvegia. Fermo restando che non tutte le autorità di protezione dei dati rendono pubbliche le sanzioni emesse. Non solo: anche i dati sulle notifiche dei data breach non sono sempre resi pubblici quindi è verosimile pensare che i numeri siano sottostimati.

Il 2024 ha visto ridurre l'ammontare delle sanzioni, non il loro numero

Fatte queste dovute premesse, il dato è che l'ammontare delle sanzioni è diminuito del 33% rispetto al 2023. Interrompendo una crescita continua del volume delle sanzioni durata per ben 7 anni. Sia chiaro: questo dato non indica un allentamento dei controlli o minor attenzione, perché il trend di lungo periodo conferma l'aumento delle sanzioni. Al contrario la riduzione è dovuta quasi interamente al fatto che nel 2023 è stata inflitta a Meta la sanzione monstre di 1,2 miliardi. Sanzione che ha "gonfiato" le cifre del 2023.

Il paese che ha fatto registrare il più alto livello di sanzioni è l'Irlanda, nuovamente. Nessuna novità, ben sappiamo quante Big Tech abbiano lì la sede legale europea. Per dare un'idea, dal 2018 al 2024, il valore aggregato delle sanzioni emesse dall'Irlanda ammonta a 3,5 miliardi di euro. Seguono poi Lussemburgo (764 milioni di euro), quini Francia.

I dati sull'Italia

L'Italia si piazza al 5° posto della classifica delle sanzioni più alte: il dato aggregato (dal 2018) è di un totale di 3,5 miliardi di euro. Nel 2024 le sanzioni per violazione del GDPR hanno riguardato anche nuovi settori, come i servizi finanziari e l'energia. Il nostro Garante per la protezione dei dati personali, ad esempio, oltre a molteplici sanzioni per marketing selvaggio ha multato un fornitore di servizi energetici (5 milioni di euro) per l'uso di dati obsoleti dei clienti.

I trend principali

Dal 28 Gennaio 2024, come detto, sono state comminate sanzioni per 1,2 miliardi di euro. Le grandi aziende tecnologie, così come le corporation dei social media continuano ad essere i principali obiettivi delle sanzioni: il solo Garante irlandese, nel 2024, ha inflitto multe per 310 milioni di euro a Linkedin e per 215 milioni a Meta.

Spunta anche una sanzione per trasferimento di dati personali ad un paese terzo. L'ha comminata l'autorità olandese al gestore di una nota di app di ride-hailing: 290 milioni di euro.

Degna di nota anche la sanzione che il Garante per la protezione dei dati spagnolo ha comminato ad una grande banca per inadeguatezza delle misure di sicurezza posti a protezione dei dati personali dei clienti.

I dirigenti sotto osservazione: si avvicina la responsabilità personale?

Il 2024 ha mostrato anche uno sviluppo forse inaspettato da parte delle autorità europee di protezione dei dati personali. Ovvero un'attenzione crescente sulla governance e la vigilanza. Molti provvedimenti in più paesi europei hanno evidenziato carenze nella gestione dei dati, chiamando in causa direttamente i dirigenti aziendali.

L'Olanda ha, per esempio, aperto un'istruttoria per verificare la possibilità di ritenere legalmente responsabili delle ripetute violazioni del GDPR i dirigenti di Clearview, la discussissima tecnologia di riconoscimento facciale di cui abbiamo già parlato. E' un'inchiesta senza precedenti perché si incentra sulla volontà di mettere nero su bianco la responsabilità individuale dei manager aziendali. La responsabilità personale diventerebbe quindi uno strumento per rafforzare la conformità normativa in fatto di protezione dei dati.

Le notifiche dei data breach

Infine arriviamo ai numeri dei data breach. Il numero medio di notifiche di violazione dei dati è aumentato, ma leggermente: si passa da 335 a 363 al giorno. Un dato che riflette, probabilmente, una certa renitenza da parte delle aziende a notificare i data breach, forse per timore di sanzioni, indagini o risarcimenti.