· L’Irlanda si conferma in pole position anche quest’anno per ammontare di sanzioni ai sensi del GDPR, con un valore totale aggregato nel tempo di 2,86 miliardi di euro.
· L’Irlanda si aggiudica anche il primo posto per la più grande sanzione mai comminata, con una sanzione di 1,2 miliardi di euro emessa nel maggio 2023 contro Meta.
· Le dieci sanzioni GDPR più elevate di sempre sono state inflitte a social media e big tech.
· Negli ultimi 12 mesi resta stabile il numero di notifiche di data breach, con una media di 335 notifiche di violazione al giorno rispetto alle 328 dell’anno precedente.
25 gennaio 2024. Lo studio legale internazionale DLA Piper ha pubblicato i risultati della sua indagine annuale sull’andamento delle sanzioni emesse ai sensi del GDPR e delle notifiche di data breach. L’indagine, condotta in tutta Europa, ha rivelato un altro anno record, con un importo totale delle sanzioni emesse dal 28 gennaio 2023 a oggi pari a 1,78 miliardi di euro, con un aumento del 14% rispetto all’anno precedente.
Si tratta di un incremento più contenuto rispetto al 50% registrato lo scorso anno, dovuto principalmente a una serie di ricorsi accolti in varie giurisdizioni, che hanno visto le sanzioni ridotte o in alcuni casi annullate, nonché a un minor numero di sanzioni emesse dalle autorità europee per la protezione dei dati a seguito di pareri e decisioni vincolanti del Comitato europeo per la protezione dei dati (EDPB).
È quanto emerge dal report “DLA Piper GDPR fines and data breach survey: January 2024”, giunto quest’anno alla sesta edizione e presentato ieri durante un evento online organizzato dallo studio legale.
In termini di valore delle sanzioni emesse, l’Irlanda si conferma al primo posto (2,86 miliardi di euro dall’entrata in vigore del GDPR) e conquista il primo posto anche per la multa più ingente, con una sanzione di 1,2 miliardi di euro imposta a Meta Platform Ireland Limited nel maggio 2023. Il dato non sorprende alla luce del fatto che l’Irlanda è tra i Paesi favoriti dalle aziende del settore tecnologico per la costituzione della loro sede principale nell’UE, ma procedimenti in questo settore per presunti trasferimenti illeciti di dati personali si sono registrati anche in altre giurisdizioni UE.
Il Lussemburgo si posiziona al secondo posto con 746 milioni di euro totali, seguito dalla Francia a quota 546 milioni di euro. In questa classifica l’Italia si trova al quarto posto, con 145 milioni di euro di sanzioni emesse dal 25 maggio 2018 a oggi.
Per quanto riguarda le notifiche di data breach, in linea con il trend degli ultimi due anni, negli ultimi 12 mesi si sono registrate in media 335 notifiche di violazione al giorno, rispetto alle 328 dello stesso periodo dell’anno precedente. La Germania, i Paesi Bassi e la Polonia hanno riportato il maggior numero di casi totali, rispettivamente con 32.030, 20.235 e 14.167 notifiche. La Danimarca è invece in cima alla classifica per il numero di notifiche di violazioni in rapporto alla popolazione (203 casi ogni 100.000 abitanti).
Commentando l’indagine, Giulio Coraggio, partner responsabile del dipartimento Intellectual Property and Technology di DLA Piper in Italia, ha dichiarato:
«I social media e le big tech rimangono il bersaglio principale delle sanzioni più elevate emesse dalle autorità per la protezione dei dati personali. Questo dato non va letto nel senso che unicamente tali aziende sono nel mirino dei garanti privacy europei perché in Italia le sanzioni sono state emesse in numero decisamente superiore da un punto di vista quantitativo rispetto a Paesi come l’Irlanda; l’importo complessivo più ridotto è dovuto unicamente dall’enorme fatturato delle aziende che hanno sede in Irlanda. Il Garante privacy italiano è stato ad esempio tra i più attivi nei provvedimenti relativi all’utilizzo dell’intelligenza artificiale. Ci aspettiamo che le problematiche privacy dell’AI e delle responsabilità da cyber attacco saranno gli argomenti più caldi su cui il Garante si concentrerà nel 2024. Quindi le aziende devono essere preparate perché il costo di eventuali sanzioni potrebbe essere elevato».
