Lo studio legale Dla Piper ha pubblicato, pochi giorni fa, il DLA Piper GDPR fines and data breach survey - Gennaio 2021, che fornisce una interessante panoramica sulle sanzioni emesse per violazioni del GDPR e sulle notifiche di data breach. Il 2020 è un anno che ha visto segnali del tutto contrastanti provenire dal mondo della privacy, ma un dato è chiaro: le Authority nazionali sono sempre più severe, aumenta il numero di sanzioni ma anche il loro ammontare.

L'importo complessivo delle sanzioni emesse dai Garanti nello spazio europeo, nel quale viene conteggiata anche la Gran Bretagna, è stato di 158,5 milioni di euro nell'ultimo anno. Ed già è utile sottolineare un dato: dall'entrata in vigore del GDPR il 25 Maggio 2018 ad oggi, il totale delle sanzioni emesse è stato di 272,5 milioni e di questi 158,5 soltanto nell'ultimo anno. I Garanti stanno, evidentemente, divenendo più esigenti e attenti. La sanzione più alta ad ora imposta resta quella che la Cnil, l'Autorità per la protezione dei dati personali francese, ha imposto a Google per un ammontare di 50 milioni di Euro circa, per aver violato il principio di trasparenza e per la mancanza di un valido consenso al trattamento dei dati raccolti. 

Il podio nella classifica dei Garanti più esigenti però spetta al nostro Garante: i 69,3 milioni di Euro che compongono l'ammontare complessivo delle sanzioni emesse collocano la nostra Authority sul gradino più alto, Germania e Francia al seguito. Con una particolarità: l'ammontare elevato delle sanzioni emesse dal Garante non è conseguenza di data breach conseguenti ad attacchi o violazioni, come accade invece negli altri stati europei. Sono le sanzioni conseguenti a trattamenti illegittimi di dati personali a finalità di telemarketing che costituiscono il nucleo fondamentale degli interventi sanzionatori: dalla non validità del consenso raccolto al traferimento dati dai cosiddetti "data broker" alle società di telemarketing, passando perfino per l'organizzazione operativa dei call center, queste le principali motivazioni sanzionatorie.

I Garanti: i più esigenti e i meno esigenti
Resta la difficoltà di capire quali criteri sono applicati per determinare l'ammontare di una sanzione: l'operato del Garante italiano è stato infatti criticato da alcune associazioni di categoria perchè l'incertezza che deriva dal non poter quantificare con certezza una sanzione rende praticamente impossibile per le aziende quantificare la portata effettiva del "rischio privacy". Ad esempio, per le sanzioni più alte è stato considerato lo 0,2% del fatturato, in altri casi però non è stata seguita la stessa metodologia.

Anche l'Autorità inglese, l’Information commissioner office (Ico), ha mostrato incertezza nella quantificazione delle sanzioni: nel corso del 2020 ha infatti emesso due avvisi pubblici, nei quali annunciava l'intenzione di emettere sanzioni per un totale di 382 milioni, ma le sanzioni effettive poi sono state di 22,2 e di 20,4 milioni di euro. In questo caso l'ICO ha deciso di venire incontro alle società sanzionate, entrambe attive nel settore turismo e trasporti e duramente colpite dalla crisi Covid-19. Altri Garanti invece hanno optato per una linea più dura, come il nostro: c'è chi in questo vede le prime crepe, le prime differenziazioni post Brexit nell'applicazione del GDPR.

Le notifiche di data breach
In totale ci sono state 281.000 notifiche di data breach: sul podio dei data breach notificati troviamo Germania (77.700) , Paesi Bassi (66.250) e Regno Unito (30536). Francia e Italia si collocano molto molto distanti con, rispettivamente, 5.300 e 3.400 notifiche: dati che certificano la differenza in termini di cultura della protezione del dato. In Italia è abbastanza chiaro che le mancate notifiche siano frutto della paura di subire sanzioni: al momento della notifica infatti il Garante chiede informazioni e questo pare fungere da deterrente. Peccato che non si tenga di conto come la mancata notifica comporti necessarimente un aumento (anche di non lieve entità) di una eventuale sanzione.