Italia terza in Europa per numero di sanzioni emesse in violazione del GDPR.
Le infrazioni alle leggi sul trattamento dei dati sono costate 1,1 miliardi di euro di sanzioni alle imprese e ai soggetti finiti del mirino dei garanti nazionali della privacy nel corso del 2021.
Un incremento di quasi sette volte rispetto all’anno precedente, quando erano state emesse sanzioni per 225,5 milioni di euro.
È questo il dato rilevato dallo studio legale DLA Piper nel report annuale “General data protection regulation (GDPR) fines and data breach survey” condotto nei 27 Paesi dell’Unione europea più UK, Norvegia, Islanda e Liechtenstein.
Primato al Lussemburgo
Il report evidenzia come «Lussemburgo, Irlanda e Francia siano in cima alla classifica delle sanzioni individuali più elevate emesse nell’ultimo anno (rispettivamente 746 milioni di euro, 225 milioni di euro e 50 milioni di euro).
Per effetto di tali provvedimenti il Lussemburgo e l'Irlanda hanno compiuto un balzo verso l'alto della classifica delle sanzioni totali registrate dall’avvio del GDPR (25 maggio 2018), occupando ora le prime due posizioni, seguiti dall’Italia.
«Negli ultimi 12 mesi sono stati notificati ai regolatori più di 130mila data breach, in media 356 denunce quotidiane, un incremento dell’8% rispetto alla media dei data breach giornalieri comunicati lo scorso anno (331)», si legge nel report.
Data breach: +8%
«Rapportando i risultati in base alla popolazione residente, Paesi Bassi, Liechtenstein e Danimarca sono i paesi in cui si registra il maggior numero di notifiche di data breach, rispettivamente con 151, 136 e 131 per ogni 100mila abitanti. Croazia, Repubblica Ceca e Grecia hanno invece riportato il minor numero di notifiche di data breach pro-capite».
I nodi e le sfide della sentenza Shrems II
Il report di DLA Piper dedica inoltre ampio spazio alla sentenza cosiddetta Shrems II che, secondo il report, continua a rappresentare la principale sfida di conformità alla normativa sulla protezione dei dati per molte organizzazioni soggette dal GDPR.
La sentenza e il capitolo V del regolamento europeo - specifica il report - impongono severe limitazioni al trasferimento di dati personali dall'Europa e dal Regno Unito a "paesi terzi" con gli esportatori di dati che rischiano ordini di sospensione, sanzioni e richieste di risarcimento per non aver soddisfatto questi nuovi requisiti.
La sentenza - conclude il report - richiede alle organizzazioni che esportano dati personali dall'Europa e dal Regno Unito verso paesi terzi di effettuare una mappatura completa di tali trasferimenti e valutazioni dettagliate dei rischi legali e pratici di intercettazione da parte delle autorità pubbliche nei paesi in cui si trovano gli importatori, aumentando notevolmente gli oneri di compliance per gli esportatori e gli importatori di dati».
Il commento dei dati
«L’alto valore complessivo di sanzioni emesse ai sensi del GDPR dimostra che il Garante per la protezione dei dati personali è stato decisamente attivo negli ultimi anni. Questo spiega forse il motivo perché l’Italia sia anche uno dei paesi con il numero minore di notifiche di data breach, se rapportato alle dimensioni della popolazione – ha dichiarato Giulio Coraggio, partner di DLA Piper, responsabile del dipartimento italiano di Intellectual Property & Technology. Ciò è difficile da spiegare in un periodo in cui il numero di cyberattacchi è notevolmente aumentato. È possibile che le incertezze dei procedimenti davanti al Garante fungano da deterrente per le aziende a procedere alla notifica di data breach, il che inevitabilmente si traduce in un danno per gli individui. Ciò avviene in un contesto in cui poche aziende si sono mosse per garantire un’effettiva conformità con i requisiti di cui alla sentenza Schrems II, il che può rappresentare un ulteriore rischio di mancata conformità in una eventuale ispezione del Garante successiva ad una notifica di data breach».
