Secondo il GDPR Fines and Data Breach Survey dello studio legale DLA Piper, il 2024 ha visto un’intesa attività relativa alla tutela della privacy, con 1,2 miliardi di euro di sanzioni imposte in Europa. La settima edizione della ricerca annual copre tutti i 27 Stati membri dell’UE, più Regno Unito, Norvegia, Islanda e Liechtenstein. Non tutte le giurisdizioni pubblicano i dettagli delle sanzioni emesse. È pertanto possibile che siano state emesse più sanzioni rispetto a quelle oggetto dell’indagine. Non tutti gli Stati membri dello Spazio economico europeo rendono disponibili i dettagli delle statistiche di notifica dei data breach. Alcuni hanno fornito dati incompleti o relativi a una parte del periodo coperto dalla presente ricerca. Quindi le cifre sono state arrotondate e in alcuni casi estrapolate per fornire le migliori approssimazioni.
Europa e GDPR, Irlanda il Paese più sanzionato
Il dato segna un -33% rispetto all’anno precedente, interrompendo una tendenza di crescita ininterrotta durata 7 anni. Tuttavia, questa flessione non indica un allentamento dei controlli: il trend di lungo periodo continua a essere in aumento. L’Irlanda si conferma ancora una volta il Paese con il più elevato livello di sanzioni, con un totale aggregato di 3,5 miliardi di euro dal maggio 2018. Ovvero oltre 4 volte l’importo delle multe imposte dal Lussemburgo, secondo in classifica con 746,4 milioni di euro. Seguono Francia (597,4 milioni di euro), Paesi Bassi (344,6 milioni) e Italia (237,3 milioni). Dal 2018, l’ammontare complessivo delle sanzioni legate al GDPR ha raggiunto i 5,88 miliardi di euro.
Tendenze e approfondimenti
La sanzione più alta mai imposta nell’ambito del GDPR resta la multa record da 1,2 miliardi di euro inflitta nel 2023 dal Garante irlandese della protezione dei dati alla Meta Platforms Ireland Limited. Questo provvedimento aveva influenzato significativamente i dati dell’anno scorso, spiegando in gran parte la riduzione dell’ammontare delle sanzioni nel 2024. Le grandi aziende tecnologiche e i giganti dei social media continuano a essere i principali obiettivi delle sanzioni più elevate. Quasi tutte le dieci sanzioni più alte dal 2018 hanno interessato questo settore. Solo quest’anno, il Garante irlandese ha inflitto multe per 310 milioni di euro a LinkedIn e per 251 milioni di euro a Meta. Nell’agosto 2024, l’Autorità olandese per la protezione dei dati ha inflitto una multa di 290 milioni di euro a una nota app di ride-hailing per il trasferimento di dati personali a un Paese terzo.
Cosa è successo in Italia
L’applicazione del GDPR nel 2024 si è estesa anche ad altri settori, tra cui i servizi finanziari e l’energia. Ad esempio, l’Autorità spagnola per la protezione dei dati ha inflitto due multe per un totale di 6,2 milioni di euro a una grande banca per misure di sicurezza inadeguate. Mentre l’Autorità italiana per la protezione dei dati ha multato un fornitore di servizi energetici per 5 milioni di euro per l’uso di dati obsoleti dei clienti. Il Regno Unito, invece, ha rappresentato un’eccezione nel 2024, con pochissime sanzioni. A novembre 2024, il Commissario per l’Informazione britannico, John Edwards, ha dichiarato alla stampa che non considera le multe lo strumento più efficace, poiché potrebbero trascinare l’ufficio in anni di contenziosi.
Europa e GDPR, cosa cambia per i manager
Uno degli sviluppi più significativi del 2024 è stato il crescente focus sulla governance e la vigilanza, con diverse decisioni che hanno evidenziato gravi carenze gestionali e hanno chiamato in causa direttamente i dirigenti aziendali. In particolare, l’Autorità olandese per la protezione dei dati ha annunciato un’indagine per valutare se sia possibile ritenere i dirigenti di Clearview AI personalmente responsabili per ripetute violazioni del GDPR, in seguito a una sanzione di 30,5 milioni di euro inflitta all’azienda. Questa inchiesta senza precedenti sulla responsabilità individuale dei manager potrebbe segnare un cambiamento radicale nell’approccio delle autorità, che iniziano a considerare la responsabilità personale come un potente strumento per rafforzare la conformità alla normativa in materia di protezione dei dati.
Notifiche di violazione dei dati
Il numero medio di notifiche di violazione dei dati è aumentato leggermente da 335 a 363 al giorno, segnalando una stabilizzazione rispetto agli anni precedenti. Questo potrebbe riflettere una maggiore cautela da parte delle aziende, preoccupate dal rischio di indagini, sanzioni e richieste di risarcimento. Come nei report precedenti, i Paesi con il maggior numero di notifiche di violazione dei dati dal 25 maggio 2018 rimangono Paesi Bassi, Germania e Polonia, con rispettivamente 33.471, 27.829 e 14.286 notifiche nell’ultimo anno (dal 28 gennaio 2024 al 27 gennaio 2025).
Conclusioni
Giulio Coraggio, partner responsabile del dipartimento Intellectual Property and Technology di DLA Piper in Italia Per la prima volta, i dati di quest’anno non hanno segnato nuovi record, e qualcuno potrebbe pensare che ci sia un rallentamento nell’applicazione del GDPR. Nulla di più lontano dalla realtà. Dall’aumento delle sanzioni in settori al di fuori del big tech e dei social, all’uso del GDPR come strumento di regolamentazione dell’IA, alle significative sanzioni in Germania, Italia e Paesi Bassi, fino all’allontanamento del Regno Unito da un approccio basato sulle multe. Il GDPR rimane un panorama dinamico ed in continua evoluzione.
Personalmente, ricorderò il 2024 come l’anno in cui l’applicazione del GDPR è diventata personale. Con l’Autorità olandese che promuove la responsabilità individuale per la gestione di Clearview AI, il 2025 potrebbe essere l’anno in cui i regolatori si concentreranno maggiormente sul ‘naming and shaming’. Oltre che sulla responsabilità personale per migliorare la conformità alla protezione dei dati.
